Optymalizacja wydajności platformy bezpieczeństwa
Wyzwanie
Wiodący dostawca telekomunikacyjny zlecił firmie Profitap lepszą integrację i optymalizację rozwiązania z zakresu cyberbezpieczeństwa z infrastrukturą sieciową. Kluczowymi kryteriami technicznymi było zbieranie odpowiedniego ruchu z kluczowych punktów przechwytywania w sieci i przekazywanie go do dwóch centralnie zlokalizowanych i zarządzanych platform cyberbezpieczeństwa.
Sektor telekomunikacyjny wymaga ogromnej wydajności, niezawodności i skalowalności, aby zapewnić najlepszą obsługę klienta, ponieważ, w większości przypadków, polegamy na lojalnych klientach, którzy rok do roku odnawiają subskrypcję i potwierdzają niezawodność usług. Świadczymy szeroki zakres usług, w tym przechowywanie danych, IP, usługi głosowe i bezprzewodowe, zarządzając jednocześnie tysiącami urządzeń sieciowych, w tym routerami, przełącznikami LAN, firewallami, urządzeniami aplikacyjnymi czy bezprzewodowymi punktami dostępowymi. Ze względu na specyfikę swojej pracy, awarie sieci spowodowanie uszkodzeniem sprzętu czy ryzyko naruszenia bezpieczeństwa danych nie są dla nas opcją. W planach mamy ulepszenie i wzmocnienie naszych dwóch platform bezpieczeństwa, ale bez pełnej widoczności sieci wiemy, że to nie wystarczy.
Sieć telekomunikacyjna to skomplikowana, niejednorodna sieć hybrydowa z wdrożeniami stacjonarnymi i chmurowymi. Związane z nią są ogromne wyzwania techniczne i operacyjne w środowisku wielu dostawców i partnerów. Po jednej z ostatnich aktualizacji sieci, klient wymagał optymalizacji sposobu organizacji ruchu pomiędzy TAP-ami a narzędziami bezpieczeństwa w danej lokalizacji. Przy ograniczonej liczbie portów wejściowych dostępnych w narzędziach bezpieczeństwa, liczba połączeń TAP przekazywanych do narzędzi była również znacznie ograniczona. Na każdym wyjściu monitorującym mamy dwa porty TAP (po jednym na każdą stronę łącza) obsługujące 96 łączy, co daje łącznie 192 wyjścia monitorowania z TAPów. Mając tylko 8 portów na dwóch dostępnych platformach bezpieczeństwa, wymagane jest inne rozwiązanie. Jak to rozwiązać?
Wśród głównych wyzwań stojących przed klientem wyznaczyć możemy:
- Uzyskanie 100% widoczności ruchu sieciowego, w celu zapewnienia płynności działania sieci.
- Niewystarczająca ilośc portów wejściowych dostępnych w narzędziach bezpieczeństwa, aby pomieścić wszystkie kluczowe punkty przechwytywania.
- Wzrost kosztów narzędzi ze względu na rosnącą liczbę punktów kontrolnych.
- Różne typy mediów z różnych źródeł w sieci.
Rozwiązanie
Jako rozwiązanie problemu klienta, Profitap wybrał nową generację Network Packet Brokerów (NGNPB), z serii X2-Series, aby wyelimonować martwe punkty w sieci oferując dużą liczbę portów, optymalizując wydajność narzędzi do monitorowania i narzędzi bezpieczeństwa w całej sieci, zapewniając każdemu narzędziu dostęp do odpowiednich danych pakietów. Network Packet Brokery wspierają agregację wielu portów wejściowych do zagregowanych portów wyjściowych w stronę systemów wykrywania włamań (IDS) i innych narzędzi analitycznych.
Dodatkowo, zastosowane zostały modularne TAPy o wysokim zagęszczeniu portów Profitap, MOD-TAP, zapewniając do 24 modułów na każdy MOD-TAP, co pozwalało na monitorowanie aż 96 linków w 4U używając 4 MOD-TAP’ów. Daje nam to 192 monitorujące porty TAP które w połączeniu z portami 100 Gb/s znajdującymi się w NBP Profitap X2-6400G, pozwalają w pełni wykorzystać ich zaawansowane funkcje agregacji. Używając wielomodowych kabli breakoutowych QSFP+ 40Gb/s do łączenia 10Gb/s portów na każdym wyjściu TAP’a, możemy połaczyć 4 TAPy do każdego z portów 100Gb/s na Network Packet Brokerze. Ogromnym plusem TAPów modularnych MOD-TAP, jest ich elastyczność, umożliwiając ieszanie i łączenie różnych typów światłowodów w tej samej obudowie co znacznie ułatwia spełnienie wymagań lokalnych serwerowni.
W kilku przypadkach wymagane było także monitorowanie połączeń miedzianych. W celu bezstratnej agregacji 4 połączeń 10/100/1G in-line do pojedynczego portu wyjściowego 1/10G, zastosowane zostały TAPy typu Booster In-Line. W ten sposób chociaż monitorowane porty były miedziane, finalnie do Network Packet Brokera dane trafiają przez port światłowodowy.
Bardziej powszechnym scenariuszem byłoby zainstalowanie dwóch brokerów pakietów wykonujących agregację. W tym przypadku problem polega na tym, że oba brokery pakietów będą działać niezależnie od siebie. Oznacza to podwojenie czasu konfigurowania reguł i aktualizacji istniejących, nie wspominając o możliwych konfliktach, które mogą powstać między istniejącymi a nowymi regułami. Network Packet Brokery Profitap X2-Series korzystają z możliwości tworzenia 6000 niekonfliktowych reguł, dzięki czemu nie może dojść do konfliktu między nowymi a istniejącymi regułami, utrzymując wszystkie zasady równolegle względem siebie.
Zarządzanie aż 192 portami TAPów jednym brokerem pakietów sieciowych, znacznie ułatwia instalacje i konserwację.
Oprócz agregacji portów, NGNPB mają wiele interesujących i bardzo przydatnych funkcji, takich jak m.in.:
- Packet slicing – redukuje wymaganą przepustowość do narzędzi bezpieczeństwa poprzez usuwanie niepotrzebnych fragmentów pakietów.
- Load balancing – rozdziela obciążenie pomiędzy dostępne narzędzia.
Network Packet Brokery serii X2-Series: Korzyści dla klienta
Rozwiązanie oferowane przez firmę Profitap zoptymalizowało wydajność zaangażowanych narzędzi bezpieczeństwa. Koszt projektu został również znacznie obniżony dzięki możliwości wykonania agregacji i optymalizacji całego ruchu w jednym brokerze pakietów sieciowych. Bezkonfliktowe działanie zasad sieciowych brokerów pakietów sieciowych z serii X2 firmy Profitap zapewnia również, że nie może dojść do konfliktu między nowymi a istniejącymi regułami. Oszczędza to czas na konfigurowanie nowych reguł, gdy nowe narzędzia i TAP są dodawane do istniejącej infrastruktury. Główne zalety rozwiązania to uproszczona architektura okablowania, oszczędność kosztów operacyjnych i łatwość konserwacji.
W szczególności:
- Zoptymalizowały wydajność narzędzi analizy sieci i jej bezpieczeństwa
- Usunięto martwe punkty ze wszystkich środowisk sieciowych i uzyskano dostęp do zintegrowanego, ekonomicznego monitorowania sieci, zabezpieczeń i analiz
- Niekonfliktowe reguły umożliwiają inżynierom sieci łatwe dodawanie nowych narzędzi i zarządzanie istniejącym przepływem ruchu bez wpływu na istniejącą konfigurację.