Digitaalse transformatsiooni tõttu ei ole ettevõtete võrgud enam lihtsalt "mõned arvuteid ühendavad kaablid". Asjade interneti seadmete leviku, teenuste pilve migreerimise ja kaugtöö üha suureneva kasutuselevõtuga on võrguliiklus plahvatuslikult kasvanud, nagu liiklus maanteel. See liikluse hüppeline kasv tekitab aga ka väljakutseid: turvatööriistad ei suuda kriitilisi andmeid jäädvustada, jälgimissüsteemid on ülekoormatud üleliigse teabega ja krüpteeritud liikluses peituvad ohud jäävad avastamata. Siin tuleb appi "nähtamatu teenija", mida nimetatakse võrgupaketi vahendajaks (NPB). Toimides intelligentse sillana võrguliikluse ja jälgimistööriistade vahel, tegeleb see kaootilise liiklusvooga kogu võrgus, varustades samal ajal jälgimistööriistu täpselt vajalike andmetega, aidates ettevõtetel lahendada "nähtamatuid, ligipääsmatuid" võrguprobleeme. Täna pakume põhjalikku arusaama sellest põhirollist võrgu toimimises ja hoolduses.
1. Miks ettevõtted otsivad just praegu riiklikke tugipanku (NPB-sid)? — Komplekssete võrkude „nähtavuse vajadus”
Mõelge sellele: kui teie võrgus töötab sadu IoT-seadmeid, sadu pilveservereid ja töötajad pääsevad sellele ligi kõikjalt, kuidas saate tagada, et pahatahtlik liiklus sisse ei hiiliks? Kuidas saate kindlaks teha, millised lingid on ülekoormatud ja aeglustavad äritegevust?
Traditsioonilised jälgimismeetodid on pikka aega olnud ebapiisavad: jälgimisvahendid saavad kas keskenduda ainult kindlatele liiklussegmentidele, jättes võtmesõlmed vahele; või edastavad nad kogu liikluse tööriistale korraga, mistõttu see ei suuda teavet seedida ja analüüsi efektiivsust aeglustada. Lisaks, kuna üle 70% liiklusest on nüüd krüpteeritud, ei suuda traditsioonilised tööriistad selle sisu üldse läbi näha.
Võrguhaldusettevõtete (NPB-de) tekkimine lahendab võrgu nähtavuse puudumise probleemi. Nad paiknevad liikluse sisenemispunktide ja jälgimisvahendite vahel, koondades hajutatud liiklust, filtreerides välja üleliigsed andmed ja jaotades lõpuks täpse liikluse sissetungimise tuvastamise süsteemidele (IDS), turbeteabe haldusplatvormidele (SIEM), jõudlusanalüüsi tööriistadele ja muule. See tagab, et jälgimisvahendid ei ole näljas ega üleküllastunud. NPB-d saavad ka liiklust dekrüpteerida ja krüpteerida, kaitstes tundlikke andmeid ja pakkudes ettevõtetele selget ülevaadet oma võrgu olekust.
Võib öelda, et nüüd, kui ettevõttel on võrgu turvalisuse, jõudluse optimeerimise või vastavuse vajadused, on NPB-st saanud vältimatu põhikomponent.
Mis on NPB? — Lihtne analüüs arhitektuurist põhivõimekusteni
Paljud inimesed arvavad, et terminiga „paketimaakler“ kaasneb kõrge tehniline sisenemisbarjäär. Siiski on ligipääsetavam analoogia kasutada „kiirtarnete sorteerimiskeskust“: võrguliiklus on „kiirpakid“, NPB on „sorteerimiskeskus“ ja jälgimisvahend on „vastuvõtupunkt“. NPB ülesanne on koondada laiali pakendatud pakke (koondamine), eemaldada kehtetud pakid (filtreerimine) ja sortida neid aadressi järgi (jaotus). Samuti saab see eripakke lahti pakkida ja kontrollida (dekrüpteerimine) ning eemaldada privaatset teavet (masseerimine) – kogu protsess on tõhus ja täpne.
1. Kõigepealt vaatame NPB „skeletti“: kolme põhilist arhitektuurimoodulit
NPB töövoog tugineb täielikult nende kolme mooduli koostööle; ükski neist ei tohi puududa:
○Liikluse juurdepääsu moodulSee on samaväärne „kiirkättetoimetamise pordiga“ ja seda kasutatakse spetsiaalselt võrguliikluse vastuvõtmiseks kommutaatori peegelpordist (SPAN) või jaoturist (TAP). Olenemata sellest, kas tegemist on liiklusega füüsilisest lingist või virtuaalsest võrgust, saab seda koguda ühtsel viisil.
○TöötlemismootorSee on sorteerimiskeskuse „aju“ ja vastutab kõige kriitilisema „töötlemise“ eest – näiteks mitme lingiga liikluse ühendamine (agregeerimine), teatud tüüpi IP-aadressi liikluse filtreerimine (filtreerimine), sama liikluse kopeerimine ja saatmine erinevatele tööriistadele (kopeerimine), SSL/TLS-krüptitud liikluse dekrüpteerimine (dekrüpteerimine) jne. Kõik „peentoimingud“ tehakse siin.
○JaotusmoodulSee on nagu "kuller", kes jaotab töödeldud liikluse täpselt vastavatele jälgimistööriistadele ja saab teostada ka koormuse tasakaalustamist – näiteks kui jõudlusanalüüsi tööriist on liiga hõivatud, jaotatakse osa liiklusest varutööriistale, et vältida ühe tööriista ülekoormamist.
2. NPB „põhifunktsioonid”: 12 põhifunktsiooni lahendavad 90% võrguprobleemidest
NPB-l on palju funktsioone, kuid keskendume ettevõtete poolt enimkasutatavatele. Igaüks neist vastab praktilisele probleemile:
○Liikluse replikatsioon / koondamine + filtreerimineNäiteks kui ettevõttel on 10 võrguühendust, siis NPB ühendab esmalt 10 lingi liikluse, seejärel filtreerib välja "topeltandmepaketid" ja "ebaolulise liikluse" (näiteks töötajate videote vaatamise liikluse) ning saadab jälgimisvahendile ainult äriga seotud liikluse – parandades seeläbi tõhusust 300%.
○SSL/TLS dekrüpteerimineTänapäeval on paljud pahatahtlikud rünnakud peidetud HTTPS-krüptitud liiklusesse. NPB saab selle liikluse ohutult dekrüpteerida, võimaldades sellistel tööriistadel nagu IDS ja IPS krüptitud sisust "läbi näha" ja tabada varjatud ohte, nagu andmepüügilingid ja pahatahtlik kood.
○Andmete maskeerimine / desensibiliseerimineKui liiklus sisaldab tundlikku teavet, näiteks krediitkaardi numbreid ja sotsiaalkindlustuse numbreid, kustutab NPB selle teabe automaatselt enne jälgimistööriistale saatmist. See ei mõjuta tööriista analüüsi, kuid vastab ka PCI-DSS-i (maksete vastavus) ja HIPAA (tervishoiuteenuste vastavus) nõuetele, et vältida andmete lekkimist.
○Koormuse tasakaalustamine + tõrkesiireKui ettevõttel on kolm SIEM-tööriista, jaotab NPB liikluse nende vahel ühtlaselt, et vältida ühegi tööriista ülekoormamist. Kui üks tööriist peaks rikki minema, suunab NPB liikluse kohe varutööriistale, et tagada katkematu jälgimine. See on eriti oluline sellistes valdkondades nagu rahandus ja tervishoid, kus seisakud on vastuvõetamatud.
○Tunneli lõpetamineVXLAN, GRE ja teised "tunneliprotokollid" on nüüd pilvevõrkudes laialdaselt kasutusel. Traditsioonilised tööriistad ei suuda neid protokolle mõista. NPB saab need tunnelid "lahti võtta" ja sealt tegeliku liikluse välja võtta, võimaldades vanadel tööriistadel liiklust pilvekeskkondades töödelda.
Nende omaduste kombinatsioon võimaldab NPB-l mitte ainult krüpteeritud liiklust "läbi näha", vaid ka tundlikke andmeid "kaitsta" ja "kohaneda" erinevate keerukate võrgukeskkondadega – seepärast võib sellest saada põhikomponent.
III. Kus NPB-d kasutatakse? — Viis peamist stsenaariumi, mis vastavad ettevõtte tegelikele vajadustele
NPB ei ole universaalne tööriist; selle asemel kohandub see paindlikult erinevate stsenaariumidega. Olgu tegemist andmekeskuse, 5G-võrgu või pilvekeskkonnaga, see leiab täpsed rakendused. Vaatame selle punkti illustreerimiseks mõnda tüüpilist juhtumit:
1. Andmekeskus: ida-lääne suunalise liikluse jälgimise võti
Traditsioonilised andmekeskused keskenduvad ainult põhja-lõuna suunalisele liiklusele (liiklus serveritest välismaailma). Virtualiseeritud andmekeskustes on aga 80% liiklusest ida-lääne suunaline (liiklus virtuaalsete masinate vahel), mida traditsioonilised tööriistad lihtsalt ei suuda jäädvustada. Siin tulevadki kasuks NPB-d:
Näiteks kasutab suur internetifirma VMware'i virtualiseeritud andmekeskuse loomiseks. NPB on otse integreeritud vSphere'iga (VMware'i haldusplatvorm), et täpselt jäädvustada ida-lääne suunalist liiklust virtuaalsete masinate vahel ja levitada seda IDS-ile ja jõudlustööriistadele. See mitte ainult ei kõrvalda "pimealade jälgimist", vaid suurendab ka tööriistade tõhusust 40% liikluse filtreerimise kaudu, vähendades andmekeskuse keskmist remondiaega (MTTR) poole võrra.
Lisaks saab NPB jälgida serveri koormust ja tagada, et makseandmed vastavad PCI-DSS-ile, millest saab andmekeskuste jaoks „oluline käitamise ja hooldamise nõue”.
2. SDN/NFV keskkond: paindlikud rollid, mis kohanduvad tarkvarapõhise võrgustamisega
Paljud ettevõtted kasutavad nüüd SDN-i (tarkvaraliselt määratletud võrgustamine) või NFV-d (võrgufunktsioonide virtualiseerimine). Võrgud ei ole enam fikseeritud riistvara, vaid pigem paindlikud tarkvarateenused. See nõuab NPB-delt paindlikumaks muutumist:
Näiteks kasutab ülikool SDN-i, et rakendada oma seadme kaasavõtmise (BYOD) põhimõtet, mis võimaldab tudengitel ja õpetajatel oma telefonide ja arvutite abil ülikoolilinnaku võrguga ühenduse luua. NPB on integreeritud SDN-kontrolleriga (näiteks OpenDaylight), et tagada liikluse isoleerimine õppe- ja kontorialade vahel, jaotades samal ajal liikluse täpselt igast piirkonnast jälgimisvahenditesse. See lähenemisviis ei mõjuta tudengite ja õpetajate võrgukasutust ning võimaldab õigeaegselt tuvastada ebanormaalseid ühendusi, näiteks juurdepääsu pahatahtlikelt ülikoolivälistelt IP-aadressidelt.
Sama kehtib ka NFV-keskkondade kohta. NPB saab jälgida virtuaalsete tulemüüride (vFW) ja virtuaalsete koormuse tasakaalustajate (vLB) liiklust, et tagada nende "tarkvaraseadmete" stabiilne jõudlus, mis on palju paindlikum kui traditsiooniline riistvaraline jälgimine.
3. 5G võrgud: viilutatud liikluse ja servasõlmede haldamine
5G põhiomadused on "kiire kiirus, madal latentsus ja suured ühendused", kuid see toob kaasa ka uusi väljakutseid jälgimisele: näiteks 5G "võrgu viilutamise" tehnoloogia saab jagada sama füüsilise võrgu mitmeks loogiliseks võrguks (näiteks madala latentsusega viil autonoomse sõidu jaoks ja suure ühendusega viil asjade interneti jaoks) ning iga viilu liiklust tuleb jälgida eraldi.
Üks operaator kasutas selle probleemi lahendamiseks NPB-d: ta juurutas iga 5G viilu jaoks sõltumatu NPB seire, mis mitte ainult ei suuda reaalajas vaadata iga viilu latentsust ja läbilaskevõimet, vaid ka õigeaegselt ebanormaalset liiklust (näiteks volitamata juurdepääsu viilude vahel) pealt kuulata, tagades võtmetähtsusega ettevõtete, näiteks autonoomse autojuhtimise, madala latentsuse nõuded.
Lisaks on 5G serval andmetöötluse sõlmed hajutatud üle kogu riigi ja NPB saab pakkuda ka "kerget versiooni", mis paigutatakse serval asuvatesse sõlmedesse hajutatud liikluse jälgimiseks ja edasi-tagasi edastamisest tingitud viivituste vältimiseks.
4. Pilvekeskkond/hübriid-IT: avaliku ja privaatse pilve jälgimise tõkete lammutamine
Enamik ettevõtteid kasutab nüüd hübriidpilve arhitektuuri – mõned toimingud asuvad Alibaba Cloudis või Tencent Cloudis (avalikes pilvedes), mõned oma privaatpilvedes ja mõned kohalikes serverites. Sellises stsenaariumis on liiklus hajutatud mitme keskkonna vahel, mistõttu on jälgimist lihtne katkestada.
China Minsheng Bank kasutab selle probleemi lahendamiseks NPB-d: nende ettevõte kasutab konteinerdatud juurutamiseks Kubernetes'i. NPB saab otse jäädvustada konteinerite (Podide) vahelist liiklust ja korreleerida pilveserverite ja privaatpilvede vahelist liiklust, et luua "otsast lõpuni jälgimine" – olenemata sellest, kas ettevõte tegutseb avalikus pilves või privaatpilves, saab operatsiooni- ja hooldusmeeskond NPB liiklusandmeid kasutada, et kiiresti kindlaks teha, kas tegemist on konteineritevaheliste kõnede või pilvelingi ummikutega, parandades diagnostika efektiivsust 60%.
Mitme üürnikuga avalike pilvede puhul saab NPB tagada ka liikluse isoleerimise erinevate ettevõtete vahel, vältida andmete lekkimist ja täita finantssektori vastavusnõudeid.
Kokkuvõtteks: riiklik tugipank ei ole „valikuline“, vaid „kohustuslik“.
Pärast nende stsenaariumide ülevaatamist näete, et NPB ei ole enam nišitehnoloogia, vaid standardne tööriist ettevõtetele keerukate võrkudega toimetulekuks. Andmekeskustest 5G-ni, privaatpilvedest hübriid-IT-ni – NPB-l on roll kõikjal, kus on vaja võrgu nähtavust.
Tehisintellekti ja servandmetöötluse üha suurema levikuga muutub võrguliiklus veelgi keerukamaks ning uute tehnoloogiapankade (NPB) võimekust täiustatakse veelgi (näiteks tehisintellekti abil ebanormaalse liikluse automaatseks tuvastamiseks ja servasõlmedega kergema kohandamise võimaldamiseks). Ettevõtete jaoks aitab uute tehnoloogiapankade varajane mõistmine ja juurutamine haarata võrgualgatusvõimet ja vältida digitaalse transformatsiooni käigus kõrvalekaldeid.
Kas olete oma valdkonnas kunagi kokku puutunud võrgu jälgimise probleemidega? Näiteks ei näe krüptitud liiklust või hübriidpilve jälgimine on katkenud? Jagage oma mõtteid kommentaaride osas ja uurime koos lahendusi.
Postituse aeg: 23. september 2025
