換個方向看流量可視化 如何做到1+1+1>3
RSA會議所在的場館Moscone Center分為南館和北館兩個區域,兩館的連接大廳是參展人員、展商、媒體們的聚集地,也是人氣最旺的地方。2018年的會場上,大廳的大屏上以可視化的方式展示了Cisco針對整體RSA會議定製的安全保障方案,其中關於流量方面的展現十分突出,吸引了不少眼球。
Cisco在RSA會議上進行大屏可視化呈現
上述Cisco的呈現方案正是目前可視化潮流的縮影:如果說策略可視化這個概念還稍顯小眾的話,那麼流量可視化的概念已經非常普及和流行了,相關的參展廠商也為數眾多,展位上各種流量可視化的頁面呈現讓人看得眼花繚亂。在這樣發展變革的趨勢下,安博通產品經理調研流量可視化產品時,重新找到了一個分類進行切入。
NPBs產品引入
在國內,傳統上我們比較偏向將流量可視化歸類為APM產品,主要關注網路性能方向。但隨著解決方案的發展,流量分析這一核心能力所能解決的問題,或者說技術的需求方已經不只局限於網路性能(Network Performance),所以安博通在本次會議上著重調研了Gartner的另一個技術面覆蓋更廣的分類:NPBs。
NPBs產品架構示意圖
NPBs,即(Network Packet Brokers),Gartner對其定義為:
Devices that receive network traffic as input from multiple SPAN ports, then manipulate the traffic by breaking it down into chunks of related data and transmitting the data chunks to their respective monitoring and security tools.
從定義上看,NPBs產品執行流量收取,並將報文拆開分塊進行分析,並提供結果給可視化和安全工具進行下一步業務處理。安博通認為NPBs的定義包含更多的業務涵義,所以更適合匹配市場上的流量可視化產品。
通過調研,NPBs產品的組成模式可以看作是1+1+1,即:分流負載+提取分析+數據應用,其中分流負載部分執行物理層和鏈路層的流量分發(如分光)以及流量負載均衡(按特定規則進行報文分類處理)、提取分析部分執行報文內容還原(如SSL卸載和標籤剝離)和關鍵信息提取(如應用層審計、文件重組)、數據應用部分執行信息耦合(API介面)和調用(可視化呈現/威脅分析/性能管理等)。這三個部分的邏輯從獲取到加工再到應用層層遞進,可包括多數主流的流量可視化產品的設計思路。
NPBs產品組成模式示意圖
2018三大發展趨勢
針對參加2018年RSA大會的流量可視化廠商,安博通產品經理進行了現場交流和方案整理,總結出以下三個主要發展趨勢:
1. 流量分析發展為標準中間件
在RSA會議上,安博通產品經理髮現基於流量分析能力而衍生出來的解決方案越來越多,例如基於流量匹配信息來梳理安全策略、通過分析應用層內容進行用戶畫像、通過分析空口傳輸參數進行RAN(continuous radio access)網路優化等。隨著更多應用需要流量深層內容作為信息輸入,流量分析和可視化能力已經成為一種標準的中間件,正在被定義得越來越標準:從最基本的五元組信息、用戶、時間信息,到七層應用內容、SSL加密信息、傳輸質量參數,再到實時分析、歷史查詢、可視化呈現,所有層面上的需求都在通用化。
在中間件趨勢下,競品廠商之間也會通過方案合作的方式互相補充流量分析能力。例如,同樣作為領先的NPBs廠商,Gigamon與Flowmon各自擅長安全方案和性能管理方案,這兩家廠商也聯合推出了安全+性能解決方案:Gigamon將流量進行解析後通過API介面按照需要的格式提供給Flowmon平台以實現雙重分析,過程中Gigamon的流量分析能力就完全作為中間件出現,這樣的合作案例在美國非常普遍。
Gigamon和Flowmon推出聯合解決方案
說到國內比較火熱的安全態勢感知,美國國家安全系統委員會對其的定義是:「在一定的時間和空間範圍內,企業的安全態勢及其威脅環境的感知。理解這兩者的含義以及意味的風險,並對他們未來的狀態進行預測。」在態勢感知的最初始階段,就是由探針+Sensor組件來進行基於原始流量的信息採集感知工作,再進行安全大數據分析,從而實現預測和響應。這裡的提到的探針和Sensor組件,其實就對應了NPBs產品的中間件概念,所以說NPBs是態勢感知方案的重要組件和數據來源。
2. 架構:從一次拆包到一次解析
一次拆包的概念在UTM切換到NGFW的時代被普遍提及,相對不同功能模塊多次拆包進行流量解析的方式,NGFW產品強調使用統一流量識別引擎只進行一次拆包,獲得更高性能和更強的架構擴展性。如今,當安全防護已經進階到APT、0day、未知威脅的階段時,我們的網路中經常存在「多次解析」的問題。
例如,當我們在核心交換機上旁路部署了APM、APT防禦、WAF等產品時,就會存在一份流量進行多次旁路的情況,此時資源消耗型的任務就會帶來重複開銷:每個旁路系統都會進行一次SSL解密、文件還原、內容解析...更大的問題在於擴展性,當網路帶寬從5G升級到10G時,旁路的流量也翻倍,此時所有的旁路系統也要進行性能升級,這帶來了運維和投資的雙重負擔。
所以在NPBs產品上,廠商正在實現一次解析的方案。例如Gigamon的實現方案如下圖所示:由交換機將流量執行一次旁路到Gigamon設備後(分流負載),執行一次全解析過程(提取分析),再利用合作開發的API介面將文件MD5、指紋信息、流量統計值等關鍵信息分發給多個旁路系統(數據應用),最終完成業務流程閉環。
Gigamon的一次解析方案示意圖
值得一提的是,安博通產品經理在調研中發現,大多數平台產品不需要執行元數據(即Metadata,指原始報文文件)全存儲,而是可選只存儲Header等關鍵信息的模式,這種模式介於元數據存儲和日誌記錄之間,平衡了存儲空間和信息顆粒度之間的衝突。
觀察網路邊界的安全部署方案,從最早的「穿糖葫蘆」到「多次拆包」,再到「多次解析」,再到現在的 「一次解析」,一直保持著進步更新的趨勢。總體來說,NPBs產品方案的出現,讓邊界安全的部署加簡潔高效,讓安全方案發揮得更加充分。
一次解析+多次復用的流程示意圖
3. 數據應用部分的常見方向
分析2018年RSA會議中出現的NPBs廠商,一般會基於流量分析的基礎能力之上以研發或方案合作的方式推出幾個方向的產品,羅列如下供參考:
安全方向:雲抗D、APT防禦、未知威脅分析、威脅情報等產品。
APM方向:網路/應用質量管理和分析、流量統計分析與可視化呈現等產品。
特定應用方向:社交輿情監控、離職風險分析、WLAN/LTE網路質量分析、視頻會議質量分析、雲應用SLA管理等產品。
虛擬化和雲方向:公有雲、虛擬部署、數據中心東西向等場景的流量分析呈現等產品。
參展廠商簡析
Netscout
Netscout公司創建於1984年6月,是網路和應用流量監控分析行業的老牌強手,其產品線和解決方案異常全面,涉獵面非常廣泛。
Netscout產品列表
Netscout解決方案列表
不過,回到RSA會議的主題:安全,Netscout在安全方面的方案卻顯得並不突出,安全在Netscout整體方案中的比重也不算高。在雲抗D解決方案中,Netscout可以同時提供運營商和接入用戶側的產品方案,通過流量識別能力對潛在的攻擊行為進行識別,以及在DDoS攻擊發生的時候能夠快速通過BGP路由/DNS協議等方式將流量引開。在安全解決方案中,Netscout並未明確與某些領先的專業安全廠商進行合作,但同樣宣稱能夠進行未知威脅發現和自動化安全運維。
安博通產品經理對Netsout的流量分析和呈現進行了現場調研,demo演示中可以看到Netscout在這方面的積累還是非常深厚,不論是元數據存儲和審計、質量分析和可視化呈現方案都非常成熟。
Netscout產品demo演示情況
Gigamon
Gigamon成立於2004年,這家公司的解決方案特色非常突出:在NPBs產品的基礎上主打安全方向,在上文中提高的一次解析架構就是Gigamon正在推廣的主力方案。在SSL解密方面,Gigamon的高端硬體可以提供高達40Gbps性能的在線/旁路SSL解密能力,在業界處於領先地位,這得益於其優秀的軟硬體設計能力。
Gigamon產品SSL卸載方案
Gigamon在安全方案方面使用合作的方式全面鋪開,其技術合作夥伴包括在安全業界頂尖的Check Point、Cisco、FireEye、IBM Security、McAfee、Palo Alto等等廠商,幾百種API適配使得Gigamon的流量解析能力牢牢地紮根於整體安全解決方案中,其自身產品設計也考慮到公有雲以及虛擬化環境部署,這讓Gigamon通過借船出海的方式成為了安全業界的交叉點。安博通產品經理認為,Gigamon公司的合作模式非常值得國內廠商借鑒和學習。
Gigamon部分技術方案合作夥伴名錄
Manage Engine
Manage Engine這家公司是印度人在矽谷創立的一家創業公司,整體產品解決方案同樣非常明確:主打IT運維方向。在與安博通產品經理的交流中,Manage Engine的一位高級管理者強調,該公司的價值主張是在IT架構越來越複雜的情況下,通過多種工具使得用戶的操作更簡便,讓IT運維變得更輕鬆、簡單、可視化。
Manage Engine公司的解決方案包括AD域管理、桌面管理、移動設備管理、office 365管理、呼叫中心管理、雲運維與IT運維等,甚至包括專門的IP地址規劃管理組件,完全圍繞一個大中型規模公司的IT架構建設思路進行產品方案設計,可以說是一個可以直接提供整體企業IT服務的產品研髮型公司,這一思路顯得非常新穎,用戶幾乎可以從Manage Engine直接拿到所有需要的產品。
該公司還有一個有趣的特點,就是其所有軟體產品都可以在其官網上得到免費的demo演示版本,並且可以通過CSV文件的方式導入數據,在demo上直接模擬真實的業務,這種自信大膽的方式確實令人刮目相看。
在流量可視化方面,其帶寬監控和流量分析產品具備很強的運維特色,例如其產品方案中會直接集成各種合規標準(如ISO、PCI、SANS和NIST等),根據流量識別的情況來分析網路是否存在不合規的情況,並給出報表結果。
Manage Engine合規情況分析
總體來看,Manage Engine是一家思路獨特,風格大膽,產品思路清晰的優秀廠商。
Flowmon
Flowmon廠商的主要方向是NPMD,主打網路/應用性能監控、故障診斷和行為分析,其方案中也提供DDoS能力。整體上看,相比於以上提到的幾家公司,Flowmon缺乏鮮明的特點和主旨。與其他廠商不同的是,Flowmon在流量解析能力之上提供網路代理產品和元數據記錄審計產品。其廣泛合作的思路與Gigmon比較類似,在合作夥伴中有F5、山石網科、IXIA、Netscope等,但並未看到深入的技術細節。
安博通
安博通流量可視化產品的設計思路較為明晰,主要提供三種數據應用:溯源取證、行為審計分析和安全威脅感知,定位的業務方向是運維+安全,與Gigamon有不少類似之處。在態勢感知系統中,安博通的流量可視化產品作為流量審計+態勢探針組件出現,實現以下方案:
行為審計(流量識別、應用審計、數據加工)
威脅感知(基於特徵的已知威脅識別、基於機器學習的未知威脅識別)
溯源取證(內網應用審計、威脅追蹤、存證界定)
作為安博通整體可視化的一個組成部分,流量可視化產品也可以作為可視化平台方案的一個疊加數據層面,將流量和威脅信息疊加在策略可視化平台給出的策略路徑上,並完成策略命中、策略收斂、策略建議業務,從而實現策略路徑+流量分析+安全事件的獨特解決方案。
安博通流量可視化產品組成
小結和建議
通過這次RSA會議上對流量可視化產品的梳理,安博通產品經理認為單就流量識別與呈現的核心能力來說,中國廠商並不弱於美國廠商,而在中國本土環境下,對於國內應用的處理更是近水樓台先得月,中國廠商的提取分析能力是更勝一籌的。但是相比美國NPBs產品的深度耦合相比,中國流量可視化產品與其他解決方案的化學反應顯得不足,整體方案能力遜色。
在美國,流量分析、可視化呈現、安全防禦、大數據情報、IT運維、雲數據中心等領域的廠商互相間存在緊密的合作關係網,緊密圍繞著NPBs產品的分流負載+提取分析+數據應用三個組成部分推出了無數個貼近用戶實際應用的解決方案,完全實現了1+1+1>3的實際效果。在國內,流量可視化廠商經常需要花費大量時間去跟用戶解釋,為什麼需要這項技術、能夠解決哪些問題、核心價值在何處,就是因為廠商站在分流負載和提取分析這1+1上不願意邁向用戶業務這第三步,所以顯得曲高和寡。
在RSA展會上,每一個廠商都有主打的業務模式,比如Manage Engine的運維、Gigamon的安全、Netscout的多個細分場景,作為聽眾一秒鐘就能抓到重點,因為這些廠商本來就走得離用戶更近。
在結尾,安博通產品經理希望給出一些建議:
國內的流量可視化廠商在提升流量分析的核心能力同時,可以多多走出去,以開放的心態與安全提供商、大數據提供商、運維工具提供商等方面進行深入的交流與合作,共同催生出更多貼近用戶的解決方案,而不一定要把鏈條上的環節全部一家完做完。大家一起把場面和市場做大,才能夠徹底撕下小眾的標籤,實現行業與用戶的雙贏。
TAG:安全牛 |