流量监控和分析解决方案的虚拟化仍然缺乏我们在过去十年中在IT行业的许多其他领域观察到的虚拟化方法。收集日志、事件和警报的管理应用程序已被设计成软件并虚拟化,但分析网络流量和创建此信息的繁重工作仍然基于一种笨拙的方法:使用昂贵、复杂且安全的专有应用程序实时处理流量不灵活。尽管以硬件为中心的网络部门正在虚拟化交换机和路由器,但许多网络分析解决方案仍然使用专有硬件。然而,下一代网络可视化平台现在支持流量分析应用程序的虚拟化,开创了网络、应用程序和安全操作的软件定义分析应用程序时代。这允许进行更灵活的分析、更好的理解,最重要的是一种更经济和可扩展的方法,这是安全行业真正需要的。用于网络流量分析的HeavyIron如今,监控网络流量主要是硬件密集型的,并且难以跨企业的许多交付平台和位置进行扩展。然而,监控流量对于评估网络和应用程序性能至关重要,尤其是检测安全威胁。由于分析目标不同,许多解决方案分析相同的流量,每个解决方案都在自己的专用硬件上,导致重复的流量,甚至更多的硬件来处理和存储不断增长的流量。长期以来,网络和安全运营部门如何构建可扩展、经济高效的系统来解密和分析不断扩大的网络流量一直是一个问题。几十年来,服务器和存储基础设施已经成功且高效地虚拟化了计算和存储组件。即使是前几年的网络,交换机、路由器、防火墙都已经虚拟化了。使用虚拟化进行流量监控和分析仍然是一项新兴技术。网络和应用程序管理系统、SIEM和soar是虚拟化的,因为流量易于管理且对时间不那么敏感——但即使是这些系统在有太多数据需要处理时也会遇到困难。大多数情况下都需要专用硬件,尤其是当网络流量超过10gbps时。当在需要实时流量分析的许多应用程序中复制此模型时,会产生许多“烟囱式”解决方案。这些解决方案使用专门的NIC卡来捕获和分析相同的流量,具有在FPGA上或跨多个处理器同时运行的自定义分析引擎,能够实时跟踪传入流量的分析,然后存储结果并丢弃底层交通。这些技术的成本和规模限制了IT对网络运营的洞察力,不仅限制了可以分析的流量,而且仅保留任何事件或观察的摘要细节。另一个限制是丢弃对以后的根本原因分析有价值的基础数据。因此,部署通常集中在关键聚合站点,例如网络入口出口点(南北向),但在其他地方可能是有益的或需要的,例如内部核心网络或高价值内容。对于经常依赖网络或端点设备生成的事件和流数据的IT组织而言,这将创建进一步抽象化的元数据,贡献更多的数据而更少的洞察力。网络数据包代理的可扩展性和经济可行性是解决这个问题的第一步。IT部门早就发现,为每个应用程序使用单独的网络线路效率低下,并且会产生更多的故障点。这促使引入了数据包代理,它聚合来自网络中多个点的流量,过滤掉不需要的流量,戳数据包,为每个工具复制和负载平衡流量,以及解密通信。尽管数据包代理已经接管了一些网络流量分析,例如NetFlow流量分析,但大部分分析负载仍然依赖于分析应用程序和它们自己的硬件。此外,在不分析的情况下过滤掉可能不重要的流量(例如,来自应用程序性能监控的YouTube流)对于某些应用程序是有效的。但是,特别是在安全方面,现在所有的流量都是开放的。因此,限制可见性会将流量排除在分析之外,并增加错过导致大规模利用的攻击的风险。然而,这种方法的主要挑战是NVF仍然会经历流量激增和峰值,并且流量以非常高的速率再现,需要分析应用程序依赖大量处理才能正确评估峰值速率下的数据。翻转网络分析我们现在需要考虑虚拟化网络流量分析,以利用虚拟化环境的可扩展性。本质上,我们需要重新考虑流量分析架构。网络流量可见性平台包括应用程序需要检查的所有信息,同时允许可靠的流量分配和消费。如果需要进一步处理,则可以启动分析引擎的新虚拟实例。现在,每个流量分析应用程序都可以捕获流量、执行实时分析并存储元数据结果。展望未来,我们需要重新考虑这种方法,以进一步集中流量捕获和存储进行分析,从而允许对监控应用程序进行近乎实时的分析。这种新策略将进一步的流量捕获、解密和存储功能集中在一个平台上,并允许利用软件API来分配流量。现有的NVF技术只关注流量聚合。通过存储数据,这实际上扩展了NVF控制时间的能力,将数据包代理和数据包捕获解决方案的优势结合到一个统一的平台中。这创建了一个网络流量可见性平台,其中包括应用程序需要检查的所有信息,同时允许可靠的流量分配和使用。如果需要进一步处理,当流量被可靠地捕获并以近乎实时或实时的方式随时可用时,可以启动分析引擎的新虚拟实例,而不会在启动资源时丢失单个数据包。这大大改变了方法。分析应用程序现在可以实时甚至接近实时运行,而不是丢失流量,而不是大型分析和计算基础设施在无法跟上流量时失去对信息的访问。作为一个额外的优势,任何事件周围的实际网络流量都可以用于详细的取证分析,从而更深入地了解事件前后的活动。这种类型的回顾性分析与网络安全特别相关,因为新的攻击方法可能已经存在而未被发现。这种进一步集中流量收集的方法,能够以极高的速率存储和分发,允许资源密集型流量分析和操作在更便宜的服务器上虚拟化,从而消除昂贵的专有硬件。网络可视化平台吸收流量峰值和增加,因此针对平均流量消耗进行设计成为常态,延长当前监控和分析设备的使用寿命并推迟必要的改进。随时数据访问提供对任何事件(事件前和事件后)的快速数据包访问,提供识别威胁或问题严重性、影响和缓解措施的上下文。虚拟化分析允许软件定义的流量监控和分析,在降低总拥有成本的同时创造更好的可见性和洞察力。
