一切尽显眼前：如何预防在虚拟化环境中丢失可视性和安全性

众所周知，网络数据包中转设备(Network Packet Brokers，NPB)是消除企业网络盲点的关键。但是不明智地选择却会影响到网络可视性。本文中，Ixia产品管理高级总监Glenn Chagnot将带领我们探讨如何避免这种“失明”。

相信很多人对于驾校教练的嘱咐“注意看盲点”这句话印象深刻。因为看不到的危险往往比可以看的到的危险所带来的伤害更大。这个道理同样适用于企业数据中心安全——如何应对网络盲点是许多企业正下面临的一个新的挑战。

随着众多典型企业网络信息量与数据种类的不断增长，网络环境变得更为复杂多变。这种增长使得安全分析变得日益困难，网络安全设备性能变得比以往更加重要。

关于盲点

为了消除盲点，许多企业使用网络数据包中转设备(NPB)作为网络可视性环境的核心元素接收来自数据中心内虚拟化和物理网络的数据包级数据。NPB的职责就是居于网络探针与企业的安全与性能监测解决方案之间，聚合并过滤所有数据包，并把它们传入安全和监测工具。这让工具得以分析信息并检测任何潜在的安全或性能问题。

智能NPB通过一系列诸如重复数据删除与包缩减数据包的运行得以在数据包传到监测工具之前进行任务处理，其目的就是通过提高工具效率而降低整体解决方案的成本。一个有效的NPB可以智能处理所有数据包，即理论上不会丢失任何数据包，所以似乎当今IT和信息安全团队所面临的最危险的盲点之一的确有可能是由于为了提高可视性的智能NPB造成的。

问题一：一些NPB在聚合或删除重复数据时会丢失数据包。因此，安全和监测工具不仅接收过滤的、简化的数据——它们也会收到不完整的数据。在典型操作条件下，高达30%的丢包率对于一些NPB解决方案来说并不罕见。NPB中的任何丢包都会直接并显著降低安全工具的有效性。例如，如果一个黑客利用数据包分片来分割由多个数据包组成的漏洞攻击，那么如果它丢失了几个相关的数据包，入侵防御系统(IDS)将有可能无法检测到攻击。

问题二：如何检测到数据丢失?由于智能NPB的功能就是降低安全与监测工具上的负载，它通常会在正常操作中丢弃多余的数据包。这使得它几乎不可能只通过检查NPB上的计数器而注意到NPB也丢弃了关键数据包。实时网络瞬息万变，因此，不可能即时地识别数据包数量应当达到多少。确定一个NPB是否在你的部署中丢弃关键流量的唯一方法就是在决定购买并在实时网络中启用之前，通过一个可控负载对其进行评估。因此，某些NPB不仅有可能会制造盲点，你甚至都不知道还有这些盲点。这些盲点对安全和企业的影响至关重要。

你无法确保不可视内容的安全性

如果网络可视性信息丢失，那么企业的安全工具的有效性也就无关紧要了;它们总是会错过它们看不到的安全事件。因此，盲点可能会隐藏一个网络入侵企图、异常僵尸网络流量信号，或成功攻破漏洞之后的数据泄漏。它识别异常网络活动(例如黑客渗透你的网络)所花的时间越长，黑客盗取的信息就越多。

它还会造成合规问题。必须符合数据安全标准(例如PCI DSS)或政府法规(例如HIPAA)的企业可能因为未能监测100%的数据流量而容易违规。这种违规可能会在声誉损失以及政府处罚方面付出惨重代价。即使敏感数据并没有受损，但是无法展示全面的数据监测也足以让企业达不到许多法规要求。

不完整的数据监测也意味着不能充分了解流量，这样就无法预测系统何时可能出故障——这些都不能帮助IT和安全团队掌控其网络。

确保整体可视性

想找到合适的解决方案?虽然并非所有NPB解决方案都一模一样，但是NPB解决方案仍然是在获得整个网络环境可视性的最智能、最有效的方式，它能够确保安全与性能监测工具能够有效访问百分之百的企业信息——只要他们在聚合数据包时不丢弃数据。

所以，当你想要购置新的NPB时，你一定要向供应商提出几个重要的问题，例如：

Ÿ 你的解决方案如何缩小数据包并消除重复的数据包?

Ÿ 它如何在不产生额外丢包的情况下进行这些功能?

Ÿ 它在不同的网络负载下表现如何?

做出购买决定之前，精明的决策者从来不会单方面听信提供商的承诺，他们会利用知名装置已知负载测试解决方案。相信对这些问题的分享将有助于大家选择一个真正切实有效的NPB解决方案：一个可以确保消除网络安全盲点，能够看到潜在威胁并采取防御措施的NPB解决方案。