盲点(Blind Spots)

        人们在讨论网络盲点的时候指的是什么?然后这些真的有那么重要吗?第二个问题的答案是绝对是肯定的。盲点直接关系到网络问题和中断,增加网络安全风险和潜在的法规遵从性问题。关于第一个问题,我们问“盲点”是什么意思,盲点是缺乏网络可见性的隐藏原因。

常见的网络盲点示例

让我们看一些盲点的例子。下面是我编译的示例库列表(尽管它并不包含所有示例)。虽然其中有些可能不适用于您的组织,但也有可能适用。扫描列表看看是否有匹配的网络。

  • 孤岛IT组织

    ——安全,网络IT和法规遵从性团队不会经常交流或者分享数据,这在企业中形成了孤岛。这可能导致不一致的数据和合规性策略,SPAN端口争用问题,不正确的SPAN端口编程,从而导致错误或丢失数据捕获,以及由于在错误的位置收集数据而引起普通旧数据冲突。

  • 虚拟化技术的使用

    ——根据Gartner Research的研究,高达80%的虚拟化数据中心流量是东西向的(即虚拟机间和虚拟机内的流量),因此它永远不会达到机架的顶部,在那里可以通过传统的TAP和SPAN技术进行监控。虽然存在虚拟TAP技术来应对这种威胁,但是某研究表明国内接近51%的IT工程师不知道这种技术。

  • SPAN端口过载

    ——一个案例研究显示了某国家药房在SPAN端口争用问题中遇到的各种问题,以及它们的SPAN端口也因数据过载情况而丢包和造成信息丢失的事实。 如果CPU过载,则SPAN端口可以并且将丢弃监视数据。 除了遇到端口争用问题外,该案例研究还表明,客户在拆分和过滤来自SPAN端口数据时也遇到了问题。 有关常规SPAN端口可见性问题的详细信息,请参阅《什么是TAP,为什么TAP对网络可见性和安全性至关重要》

  • 流氓IT

    ——当用户添加自己的以太网交换机、接入点(从iPhone)、使用异地数据存储(如Box)或向网络添加其他内容时,公司安全策略通常会被颠覆,从而导致安全、合规性和责任问题。IT对这些设备一无所知,特别是因为它们可能偶尔出现,像Wi-Fi热点。

  • 合并和收购

    ——协调不同的设备和系统通常会导致互操作性问题,从而增加系统/应用程序停机时间,关闭系统功能以提高网络性能,以及在进行大规模网络重新架构时缩减/取消网络和应用程序监控。这导致可见性非常有限(即盲点),因为没有人真正知道发生了什么。

  • 添加新的网络设备

    ——添加新的设备时,通常没有记录谁拥有它以及它做什么。设备可能会被“丢失”或遗忘,尤其是在IT关键人员离开公司或者更换部门时。由于缺乏适当的软件更新和未知的用户访问权限,仍在网络中运行的“丢失”的设备可能是安全漏洞的来源。

  • 新设备复杂性——新设备通常很难理解,即它做什么以及如何最好地使用它。对于数据网络来说,复杂性似乎一直存在。Gartner的David Cappuccio在2012年末的一次Gartner研讨会上表示,系统功能每增加25%,复杂性就会增加100%。如果IT部门没有时间研究新设备以及如何对其进行适当的编程,他们通常会停止使用这些设备,然后最终将其抛诸脑后。设备通常可以在网络中保持运行即使它没有被使用。
  • 网络复杂性

    ——当添加新链路和办公室位置时,可以使用不同的VLAN、子网等等来设置它们,以便对其进行地理划分。这些分段网络通常都由单独的设备用于远程登录、身份验证等,这使得很难跟踪这些位置处发生的情况。

  • 监控/数据收集策略不一致

    ——这可能来自多个源,但其中一个常见的影响是虚拟监控设备策略和物理设备监控策略通常是不同的,这可能会导致合规性数据不匹配、根本无法捕获必需数据和安全问题。

  • 网络规划问题

    ——在许多情况下,所需的数据根本不存在。对于拥有外部客户的组织来说,这可能是一种常见的体验。例如,服务提供商(尤其是无线服务提供商)需要良好的客户数据(服务漏洞、无线电故障、覆盖不良、甚至客户不满)才能正确规划其网络并提供更好的体验质量。

  • 推迟的网络升级

    ——推迟升级可能会导致继续使用旧的和过时设备,这些设备在高速网络上的用途有限。网络性能变慢,这将影响IT部门按要求快速解决问题的能力。

  • 实施网络升级

    ——仅执行必要的升级操作就可能导致盲点。一个案例是如果添加了新的高速设备。该设备最终可能会使网络的各个组件(尤其是监视和安全工具)过载,数据过多。如果没有同时升级任何监视和性能工具,情况尤其如此。这些工具可能会过载,并以比预期更快的速度丢失(即丢弃)数据或覆盖缓冲区/日志。此外,工具仪表板通常会被限制其可见范围,从而使盲点保持隐藏。

  • 添加新应用程序

    ——医院的一个常见的盲点是访问应用程序数据和应用程序性能趋势。在此案例研究中(没有找到相关案例文件),客户正使用的是EpicCare的动态电子病历(EMR)应用程序,但是在关联来自不同系统的所有信息时遇到了问题。

  • 安全和网络审核被推迟或很少进行

    ——此操作通常会为网络上的各种威胁和恶意软件提供一个安全舒适的避风港。很难说会隐藏什么,但不管是什么肯定都不是您要的。

  • 异常

    ——发生无法理解的网络事件,通常由IT处理,但是如果这些时间本质上是虚假和随机的,并且没有得到诊断,这可能在以后导致更大的问题。Ixia有几个客户已经消除了他们的网络异常,还实现了平均修复时间(MTTR)缩短了高达80%。(找不到相关页面)
  • 设备编程规则不正确

    ——例如防火墙编程,它基于规则,通常通过访问列表进行处理。当流量与规则匹配时就立即转发,即使存在后续规则来定制信息。这可能会造成网络安全漏洞,因为数据包在正确的安全工具查看正确信息之前就已经被发送了。

如何消除网络中的盲点?

        因此,当涉及到你的特定网络时,您的潜在盲点在哪里?如果上面列出的一些盲点适用于您,那么您通常有两种应对方式——主动或被动。被动方法是直接的,只要等到有事发生再进行修复即可。虽然这是准确定位盲点引起的问题最简单的方法,但也是最贵的方法(这通常也会增加平均维修时间)。此外,它经常需要购买/实施昂贵的长期修复或多次“创可贴”修复,而这些修复从来没有正在“修复”过问题。无论如何,这种方法事非常直接的。

        如果你想采用主动的方法,最好的解决方案是设计可见性架构。这涉及更多的前期成本和计划,但通常会很快收回成本。可见性架构是您创建的计划,用于准确组织您希望监视工具如何连接到网络。这涉及它们的连接方式(TAPs或者SPAN端口);连接到哪里(边缘、核心、哪个分支等),以及在将流量发送到工具之前如何整理监控数据(数据包过滤、应用程序过滤、去重、数据包裁剪、解密、聚合等)。

         要消除网络中的盲点,您需要能够看到所有内容。每个网络在某种程度上存在未知的问题和“很快就会成为问题”。要实现消除网络中的盲点这个目标,您需要实现可见性架构。这并不困难也不复杂,但确实需要一些计划。同时,您越早完成此步骤,将能越快将可见性架构与您的IT网络继承在一起。您就能越早实现节约成本和生产率。

研究网络可见性架构的注意事项

在考虑可见性架构时,有几个项目需要研究。以下是常见项目的简短列表:

灵活性,即选择

你会想要也需要选择权。这包括灵活部署内联和带外可见性解决方案。它还具有监控您的物理和虚拟数据中心流量的功能。应用程序智能是零意外需要寻找的领域。虽然您可能不想立即参与所有这些活动,但是您应该寻找一种解决方案,该方案允许您在需要的时候添加所需部件,而无需进行叉车式升级。

易用性

这将是严重影响您的总拥有成本(TCO)的关键部分。寻找使用拖放GUI界面的解决方案。命令行界面配置筛选器所需的时间是拖放界面的10倍(或更多)。管理系统还应该能够处理所有事务——从全局元素管理到策略和配置管理,再到数据中心自动化和协调管理。网络组件的工程灵活管理将是您的网络扩展能力的决定因素。

技术

第三个考虑因素是围绕技术的。买家当心适用于这个市场(就像你习惯的其他市场一样)。虽然供应商的产品听起来可能是一样的,但通常并非如此。一般来说,强烈考虑购买在所有条件下均以线速运行的NPB。只有极少数的NPB这样做。任何不足都会增加您的监控工作的延迟。对于内联解决方案,此线速绝对至关重要。对于内联解决方案,您还需要尽可能快的故障转移技术。

数据访问

数据访问是另一个需要关注的领域。考虑为您的数据访问技术使用TAPs而不是SPAN端口。TAPs优于SPAN的原因有几个,详见比较网络监控工具-TAP与SPAN》。

一个关键区别是,SPANs提供汇总数据(而不是所有数据的完整副本)通常会丢失正确解决问题所需的关键数据。另一个需要探讨的领域是你的工具需要数据包数据还是NetFlow数据。最后要考虑的事情是,您的工具是否要来自应用程序智能功能的其他数据来进一步提高它们的性能。