Blog

Nova generacija internet gateway omrežja: varnost in visoka razpoložljivost

Dizajn izhoda na splet (internet gateway) v omrežjih organizacij ima vedno dve temeljni zahtevi: varnost in visoka razpoložljivost.

Varnostni tretma omrežnega prometa praviloma zajema (vse) več inline varnostnih rešitev: firewall, secure web gateway (web proxy), secure mail gateway (mail proxy), ATP inspekcija, DLP, IPS/IDS, SSL inspekcija, Deep Packet Inspection (DPI), itd.

Na “papirju” lahko inline topologija zgleda npr. tako:

Tradicionalno se visoka razpoložljivost v inline scenariju lahko doseže z uporabo Spanning Tree Protocol (STP) z namenom vzpostavitve alternativne omrežne poti to gateway usmerjevalnika, pogosto ob uporabi Cisco HSRP protokola za kreiranje redundantnega default gateway-a. Tipičen prikaz takšne rešitve je prikazan na sliki:

Problem takšne legacy arhitekture leži v najnovejših varnostnih zahtevah, v glavnem v povezavi z ATP inspection & mitigation napravami (npr. Trend Micro ali Fireeye) in zahtevami za vpogled v SSL komunikacijo: torej, omrežna pot od LAN-a do usmerjevalnika in spleta mora iti preko čim več možnih točk izpada. Dodatne pomankljivosti takšnega pristopa so:

  • podprta je samo Active/Passive visoka razpoložljivost, kar pomeni, da je izkoriščeno samo pol mrežne opreme (Master/Slave način delovanja). Torej gre za vlaganje v hladni pogon.
  • ko obstaja potreba po širitvi, ni enostavno dodati novo opremo v verigo prometa.
  • vse naprave prejemajo celoten promet čeprav jih le ta mogoče ne zanima; sizing vsake naprave mora biti takšen, da zadovolji potrebe celotne prepustnosti.
  • zelo kompleksna podpora in administracija, STP protokol je znan po zelo težavnem troubleshootingu, ko pride do težav.

Z Gigamon packet broker tehnologijo je možno spremeniti dizajn internet gateway-a in doseči popolno skalabilnost in fleksibilnost, kar je pomembno v dobi vse strožjih varnostnih zahtev in velikem številu omrežnih naprav. Prednosti takšne packet broker arhitekture:

  • drastično poenostavljena podpora in skalabilnost: dodajanje, vgašanje ali nadgrajevanje različnih naprav je možno brez izpadov;
  • večja učinkovitost in izkoristek omrežnih naprav – ni potrebe, da vse naprave obdelujejo celoten promet: npr. obdelava SIP in audio video media na ATP rešitvi je vprašljiva. S tem lahko preverimo kakšne kapacitete potrebujemo na kateri napravi in poleg povečanja učinkovitosti lahko tudi bistveno prihranimo.
  • zmanjšamo ševilo točk izpadov in možnost inline bypass-a (failopen);
  • integracija z inline in out-of-band rešitvami kot so SIEM, Netflow, IDS, itd.
  • možnost inteligentnega usmerjanja prometa na različna orodja: npr. SMTP promet samo na mail scanning rešitev ali samo meta podatke na SIEM (podatki o TCP seji, URL v http zahtevo, vrsta vsebine v dogovoru, podatki iz SSL certifikatov in podobno). Omrežna orodja tako postanejo bistveno hitrejša, še posebej ko govorimo o omrežni analitiki in podobnih.

Želite več informacij?

Prej

Legacy topology

Po

Gigamon topology

Share on LinkedInShare on FacebookShare on Google+Tweet about this on Twitter