企业需要更高的网络可见性来改善云计算环境的管理,更好地处理数据中心的东西流量,并识别已加密的恶意流量。
网络可见性变得越来越模糊,企业正在投资工具来提高可见性、加强安全性并提高IT专业人员的工作效率。
美国企业管理协会(EMA)研究副总裁ShamusMcGillicuddy表示,大多数(78%)公司计划在未来两年内增加在网络可见性工具上的支出。流量增长是主要推动力,这在很大程度上归功于混合和多云架构的采用。
推动提高可见性需求的其他因素包括东西流向数据中心流量的增加以及不良行为者更多地使用加密来隐藏恶意流量。
McGillicuddy在网络简报中表示,越来越多的来自网络的数据需要分析,企业需要确保它不会压倒诸如分析流量的安全解决方案和性能分析工具等系统。
什么是网络可见性架构?
美国企业管理协会(EMA)将网络可见性架构定义为将网络流量数据传递到其他系统的流量镜像、聚合和分发工具的叠加。它从云平台和内部部署网络捕获数据包数据,并将其提供给安全工具和性能分析系统,例如入侵检测或应用程序性能管理软件。
网络可见性架构的关键组件是TAP和SPAN端口,它们用于镜像来自生产网络的流量数据,以及聚合设备,例如网络数据包代理设备。
企业级可见性架构通常还包含用于虚拟基础架构的基于软件的探针和数据包代理,以及用于云系统的基于云的探针和数据包代理。来自云计算提供商的流量镜像服务在过去几年中已经出现,并且也正在成为一些企业网络可见性架构的一部分。
网络可见性面临的挑战
大多数企业都认为当前的网络可见性条件还有改进的余地。在美国企业管理协会(EMA)调查的企业中,只有34%的企业表示他们在整体使用网络可见性架构方面取得了成功,低于2020年的40%。
调查表明,最大的挑战是可扩展性问题(27%)、架构复杂性(26%)、数据质量(23%)、技能差距(19%)、预算(19%)和有限的云可见性(17%)。
McGillicuddy说,就架构复杂性而言,问题在于没有对其网络状态进行全面、端到端的理解,这可以指导他们如何使用可见性架构来检测网络。
云计算降低了可见性工具的有效性
McGillicuddy说,总体而言,网络可见性系统的有效性因各种原因而下降,其中最主要的原因是云计算。应用程序迁移到云端造成了盲点,而多云使可见性变得更糟。McGillicuddy说,“网络运营团队对自己进入云网络的可见性不满意。他们正试图将他们的解决方案扩展到云中,他们经常在这方面受到挑战。”
云计算引入的网络盲点可能导致包括策略违规(49%)、IT服务问题或停机(46%)、安全漏洞(45%)和云成本超支(44%)等问题。
美国企业管理协会(EMA)表示,构建跨内部部署基础设施和公共云的端到端可见性架构可以消除这些盲点。
美国企业管理协会(EMA)向企业询问了他们将与云计算相关的网络数据包数据提供给安全和性能分析工具的主要方法。大多数(60%)使用第三方软件,例如虚拟网络数据包代理或虚拟TAP。另外38%正在使用云计算提供商提供的本地数据包镜像服务。剩下的2%使用替代方法或分析云中的数据包数据。
云中第三方可见性软件最引人注目的好处是:
•数据收集的可靠性(54%)
•管理安全(36%)
•可管理性/自动化(34%)
•高级数据包过滤和修改功能(32%)
•与私有基础设施中的可见性技术集成(30%)
TAP与SPAN端口:企业撤回TAP
每两年,美国企业管理协会(EMA)都会询问企业在其网络上通过交换端口分析器(SPAN)端口或测试访问端口(TAP)完成端口镜像的百分比。使用SPAN端口,网络交换机上的一个端口成为流量镜像服务,可以将流量复制并转发到其他系统。TAP是一种专用设备,可从生产网络复制网络流量,从交换机上卸载该任务。
在过去,大多数企业通过TAP而非SPAN端口进行端口镜像。但是最近出现了向SPAN端口而不是TAPS的转变。太多的企业更依赖于SPAN端口而不是TAP来进行流量镜像。
他说,随着网络复杂性的攀升,企业可能希望在其网络上镜像更多点以提高整体可见性,而SPAN端口在资本支出方面可能是一种更便宜的方法。但是使用TAPS有很多好处。
McGillicuddy说,TAP的数据质量也更好。TAP经过优化,可将镜像流量传送到可见性架构,而SPAN端口是尽力而为。如果网络交换机的利用率很高,它将保留SPAN端口的资源以完成其主要任务。例如,SPAN端口将开始丢弃数据包,这将影响数据质量。
加密流量阻碍网络可见性
McGillicuddy表示,网络可见性架构可以在检查加密流量和检测恶意活动方面发挥关键作用,但许多企业并没有看到应有的恶意流量。
美国企业管理协会(EMA)要求受访者估计他们过去一年在其网络上检测到的恶意活动有多少隐藏在加密数据包中,平均响应率为27%。但是,该百分比取决于公司在其网络可见性解决方案方面的成功程度。成功的企业表示,网络上所有恶意活动的34%是加密流量,而那些稍微成功的企业报告的比率为23%。
美国企业管理协会(EMA)还要求企业共享他们用于解密TLS/SSL流量以供检查的首选资源。最受欢迎的回应是安全和性能分析工具(被43%引用)。然而,使用安全分析工具进行解密可能会消耗这些工具的资源,这会影响它们在解密后实际分析流量的能力,
第二个最流行的方法(被23%引用)是解密网络数据包代理上的流量,“我认为这是一个理想的地方,”他说。其他方法包括专用解密设备(12%)、数据包捕获设备(11%)和应用交付控制器(7%)。
可见性提高IT效率
根据调查受访者的排名,使用网络可见性架构的最重要好处是:
•提高了IT/安全团队的生产力(被36%引用)
•降低安全风险(33%)
•改进容量管理(25%)
•优化的云迁移(23%)
•网络/应用程序性能/弹性(22%)
•更好的跨团队协作/决策(19%)
•降低合规风险(18%)
•延长安全和性能分析工具的使用寿命(14%)
McGillicuddy说,很难用美元数字来降低安全风险,但很容易量化提高生产力的好处。
在许多企业中,有价值的IT人员花费数百小时确保网络流量数据到达需要它的分析工具。借助网络可见性架构,它是自动化的。McGillicuddy说,IT专业人员不需要做繁重的工作来提取数据并将其提供给工具。