Сетевая аналитика, как жизненно важная технология обеспечения управляемости и безопасности современной сети

На сегодняшний день такие технологии как мобильный интернет, облачные, вычисления, интернет вещей и многие другие становятся центральным элементом обещающим помочь во многих областях деятельности человека.  При этом телекоммуникационные сети обеспечивают непрерывное движение огромных объемов структурированных и неструктурированных данных между этими устройствами, зачастую имеющих критически важное значение. 

В течении всего жизненного цикла телекоммуникационная  инфраструктура, маршрутизаторы, коммутаторы, серверы, оборудование ЦОД, программные приложения, виртуальная инфраструктура - довольно часто находятся под угрозой незапланированных, непредсказуемых событий, таких как : сбои в работе оборудования и выходом его из строя, проявление программных ошибок, сбои в работе сети, человеческие ошибки, стихийные бедствия, пожары и многие другие внешние угрозы. Поэтому в любой организации потеря или прекращение функционирование сети из-за аварий или катастроф, неизбежно может привести к утрате клиентов, репутационным издержками и соответственно недополучении прибыли.

Учитывая сложившуюся ситуацию с уверенностью можно сказать, что  многие ИТ-руководители и инженеры начали выдвигать более высокие требования к вопросу обеспечения непрерывности работы сетевых сервисов.

Но для создания оптимальной, с точки зрения затрат, и максимально эффективной сетевой системы, необходимо иметь точное представление - какие именно события происходят в сетевой инфраструктуре, и каким образом на них реагировать. Помочь в этом призвана система для сбора данных в режиме реального времени, где сетевые устройства, непрерывно передают данные, связанные с состоянием сети, в центр обработки данных и их анализа.

Однако большое количество компонентов инфраструктуры приводит к тому, что попытка вручную проанализировать и устранить неполадки трафика, проходящего через множество точек доступа, коммутаторов и маршрутизаторов, является почти невыполнимой задачей даже для самой организованной  команды специалистов. 

Современные инструменты сетевой аналитики обеспечивают выход из этого трудоемкого и сложного процесса. Программное обеспечение для сетевой аналитики опираясь на традиционные протоколы и методы мониторинга, использует более сложные методы сбора данных. В последствии все собранные данные  анализируются в режиме реального времени с использованием искусственного интеллекта и машинного обучения. Главным преимуществом аналитической платформы объединяющей все источники данных является возможность в автоматическом режиме прорабатывать гораздо большее количество информации, чем  могли множество специалистов в ручном режиме прежде. Полученные таким образом знания позволят не только оценивать текущее состояние сети но и прогнозировать возможное развитие событий в будущем ( используя для этого системы предиктивной аналитики).

Чтобы воспользоваться преимуществами сетевой аналитики, предприятию нужна инфраструктура, способная генерировать данные о производительности и использовании сети. Средства мониторинга сети, которые осуществляют анализ передаваемых по ней данных, могут быть программными или аппаратными. 

Потоковый сетевой мониторинг происходит на условных, нескольких взаимосвязанных уровнях:

1. Уровень приложений.

2. Уровень средств мониторинга.

3. Уровень доступа.

4. Уровень сети.

Программные инструменты анализа трафика могут быть бесплатными (например,nTop или Wireshark) или платными. Последние характеризуются более широкими функциональными возможностями, а также клиенты коммерческих средств могут пользоваться поддержкой поставщика. Очевидно, что предприятий и продвинутых пользователей лучше использовать платные версии.  

Для начала проектирования системы мониторинга сети рекомендуется произвести анализ среды и приложений в которой они будут запускаться и составить список текущих и будущих требований к мониторингу инфраструктуры. Будут ли это инструменты для классической сетевой архитектура развертывания сети или это будет “облако” - зависит от оценки бюджета и возможностей инвестировать в мониторинг.

Выбор инструмента для мониторинга системы, является сложной задачей, из-за большого количества продуктов на рынке.

Глава консалтинговой фирмы Кен Милберг “Unix-Linux Solutions”. имеющий более чем 20-летний опыт работы с системами Unix и Linux, а также обширный технический и функциональный опыт работы с AIX, HP, SCO и Solaris - рекомендует своим клиентам три, лучших продукта для программного мониторинга, таких как:

1. BMC Patrol. BMC Patrol - доступен для многих платформ. BMC Patrol Enterprise Manager, является чрезвычайно масштабируемым и тесно интегрирован с другими продуктами BMC, включая те, которые углубляются в мониторинг системы. BMC Patrol Enterprise Manager функционирует в качестве центрального операционного менеджера и объединяет оповещения из всех систем. Он предлагает диагностику проблем и их решения, предоставляет уведомления и выполняет задачи операторского типа. Patrol Enterprise Manager использует Sybase в качестве движка базы данных, а REXX и Perl используются для автоматизации сценариев. Консоль администратора Unix написана на Smalltalk, объектно-ориентированном языке, а программы на C используются для обеспечения фильтрации предупреждений. Клиенты Windows используют Patrol Explorer Patrol Enterprise Manager, который использует ODBC для связи с главным сервером Enterprise. Сама консоль работает на Solaris, HP-UX и AIX.

2. Big Brother. Big Brother, доступный как в условно-бесплатной, так и в платной версиях, представляет собой веб-систему, позволяющую контролировать практически любой тип сервера и поддерживающий более 200 типов устройств. Встроенная поддержка Big Brother позволяет системе отслеживать дисковое пространство, использование процессора, сообщения об ошибках и пользовательские процессы. Также данный продукт доступен для небольших клиентов, и его гораздо легче настроить, чем многие другие. Кроме того, продукт интегрирован с клиентскими / серверными приложениями Foglight и Spotlight для сквозного мониторинга системы

3. IBM Tivoli Monitoring - это инструмент мониторинга системы предприятия. Он обеспечивает управление распределенной и хост-системами через одну консоль предприятия. Суть системы - это Tivoli Enterprise Portal, клиент для ПК или браузера, который позволяет вам контролировать и просматривать все предприятие. Он собирает данные о приложениях от агентов, а затем передает данные на сервер управления для сбора и фильтрации. Сервер управления поддерживает AIX, Solaris, Linux (Red Hat и SUSE) и Windows. Его база данных работает на DB2. Он имеет ссылки на приложения и базы данных, такие как Oracle, что обеспечивает поддержку вне стандартного мониторинга сервера.

Аппаратные средства, в свою очередь, можно разделить на две условные категории. Первая — решения на базе серверных или компьютерных платформ со специальными платами захвата пакетов DAG (Data Acquisition and Generation), c предустановленным ПО анализа захваченного трафика, а вторая — это интегрированные устройства сетевого мониторинга типа plug-and-play. 

В отличие от обычных сетевых адаптеров, платы DAG  способны захватывать (в оперативную память хост-машины) абсолютно весь подаваемый на них трафик (потери пакетов практически исключены) на полной скорости сетевых каналов, создавая при этом минимальную нагрузку на центральные процессоры хост-машины, что позволяет задействовать почти всю их мощность для анализа захваченных данных и тем самым значительно ускорить его. 

Относящиеся ко второй категории такие инструменты, как сетевые ответвители всегда обеспечивает полный контроль передаваемого трафика. Этим данные устройства выгодно отличаются от SPAN-порта в коммутаторе. Дело в том, что коммутатор отфильтровывает слишком короткие пакеты и пакеты с ошибками CRC, в результате чего они не могут контролироваться средством мониторинга, подключенным к SPAN-порту. Кроме того, при перегрузке коммутатор может отбрасывать пакеты, передаваемые в рамках SPAN-сессии, поскольку эти пакеты обрабатываются, как имеющие более низкий приоритет, чем у обычных пакетов, пересылаемых между портами коммутатора. К тому же, копируя трафик в SPAN-порт, коммутатор изменяет временные соотношения на уровне пакетов (интервалы, задержки) и увеличивает джиттер, что ухудшает точность анализа аудио- и видеотрафика.

Сетевой ответвитель, будь он «медным» или волоконно-оптическим, не снижает надежности линии, в разрыв которой он включен. Дело в том, что в случае сбоя в подаче электропитания «медный» ответвитель продолжит пропускать трафик линии с одного своего сетевого порта на другой, а типичный волоконно-оптический ответвитель полностью пассивен и вообще не нуждается в электропитании. Фактически типичный волоконно-оптический ответвитель является простейшим оптическим сплиттером, который совместим с различными сетевыми технологиями канального уровня, например с Ethernet и ATM. Оснастив (на этапе строительства кабельной инфраструктуры) критически важные магистральные линии связи волоконно-оптическими сетевыми ответвителями, потом к ним можно будет подключать любые устройства мониторинга или обеспечения информационной безопасности, не прерывая передачи трафика по этим линиям.

Сетевые ответвители и подключаемые к ним устройства мониторинга для обеспечения информационной безопасности обычно не имеют IP-адресов, поэтому они логически изолированы от другого сетевого оборудования и не могут быть атакованы хакерами.

К яркому примером “медного” ответвителя относятся такие продукты  Ixia, как Gig Zero Delay Ta, 10/100/1000BaseT Tap. Оптические ответвители представлены устройствами семейства Flex Tap.

Первые поддерживают максимальную скорость передачи данных от 10 до 1000 Мбит/с, а вторые оптимизированы для разных скоростей передачи: 1, 10, 40 или 100 Гбит/с. Выпускаются модели волоконно-оптических ответвителей для одномодового или многомодового волокна, с различными типами разъемов и коэффициентами деления мощности.

На решающем шаге внедрения средств сетевой аналитики существует одна из важных проблем, стоящих перед многими организациями и заключающаяся в том, как интегрировать существующие системы мониторинга и аналитики от разных поставщиков. В ряде случаев это бывает невозможно, поскольку многие аналитические продукты не могут импортировать проприетарные данные телеметрии имеющие несовместимые стандарты . Данный момент ограничивает специфичность информации, которую может оценить аналитическое программное обеспечение. В результате может возникнуть ситуация, когда эти данные придется вводить вручную, что может оказаться слишком обременительным для ИТ-специалистов. 

Однако инструменты сетевого анализа таких компаний, как CA Technologies (CA Performance Management), ExtraHop (ExtraHop Performance) LiveAction (LiveNX) и Nyansa (Voyance) решают проблему в среде с разными поставщиками.

С другой стороны если компания управляет сетью, оснащенной в основном одним поставщиком решений, аналитическая платформа этого поставщика, скорее всего, может предложить дополнительные функции и преимущества в рамках своей собственной экосистемы. Кроме того, крупные поставщики решений обладают большими возможностями и ресурсами для предоставления возможностей постоянной поддержки в глобальном масштабе и круглосуточно.

Используя обширные исследования рынка сетевой аналитики а также  данные опросов касаются мониторинга всей или части корпоративной сети или гибридной / мульти-облачной среды с использованием расширенного сбора данных, объединения данных и аналитики, специалисты компании TechTarget рекомендуют ознакомить с примерами  5 видов продуктов для сетевого мониторинга и аналитики:

1.  Aruba Networks NetInsight.

Архитектура применения: облачная.

Аналитическая платформа NetInsight ориентирована на беспроводные, мобильные вычисления и IoT. Данные поступают из нескольких источников, включая контроллер беспроводной локальной сети Aruba, отдельные точки беспроводного доступа (AP) Aruba, внешний протокол динамической конфигурации хоста и серверы аутентификации пользователей. Все данные отправляются на аппаратное устройство сбора данных, которое управляется локально. Собранные данные затем анализируются в облаке для самооптимизации, обеспечения безопасности приложений, определения базовой линии и обнаружения аномалий.

Важные особенности: NetInsight может быть интегрирован с беспроводными сетями Аруба, включая платформы управления сетями AirWave и ClearPass . NetInsight также предлагает режим Green AP. При включении AI (искуственный интеллект) на аналитической платформе определяет, какие беспроводные точки доступа не используются, и отключает радиоприемники для экономии энергии, не влияя на подключение конечных устройств.

2. CA Technologies CA Performance Management.

Архитектура применения: аппаратная.

CA Performance Management - это мультивендорная платформа для локального или виртуального развертывания. Эта сквозная платформа сетевого анализа хорошо интегрируется с традиционными программно-определяемыми сетями (SDN), SD-WAN и гибридными / мультиоблаковыми средами. Является одной из наиболее комплексных платформ на рынке сетевой аналитики благодаря высокому уровню детализации, масштабируемости и глубокой самообучаемой диагностики . Что позволяет сетевым администраторам точно настраивать свои сети, чтобы они могли предоставлять высоко оптимизированные приложения и производительность конечных пользователей.

Примечательные особенности: CA Performance Management разработан для сред с несколькими поставщиками, поскольку он хорошо интегрируется с продуктами большинства крупных поставщиков сетей корпоративного уровня. Он предназначен для сред со сложной сетевой архитектурой, включая высоко виртуализированные центры обработки данных, SDN, виртуализацию сетевых функций и мульти-облака. CA Performance Management может объединить мониторинг и анализ сети в единую панель управления и просмотра. API-интерфейсы позволяют автоматизировать задачи посредством интеграции стороннего программного обеспечения.

3. Cisco DNA Analytics и обеспечение.

Архитектура применения: аппаратная.

Продукт Cisco DNA Analytics and Assurance является частью комплексной платформы управления сетью цифровой архитектуры (DNA) . По словам Cisco, компонент DNA Analytics and Assurance  превращает каждую точку в сети в датчик. Это позволяет устройствам Cisco начать потоковую передачу стандартной и сетевой телеметрической информации в центр обработки аналитики и позволяет аналитической платформе автоматизировать упреждающее устранение проблем с производительностью, посредством автоматических изменений конфигурации.

Известные функции: продукт предлагает запатентованную интеграцию с сетевым оборудованием Cisco, включая маршрутизаторы и беспроводные локальные сети. Его способность превращать беспроводные точки доступа в интеллектуальные датчики позволяет платформе Analytics и Assurance собирать данные о поведении пользователей и устройств, что позволяет предприятиям решать проблемы по мере их возникновения. Cisco также имеет эксклюзивные партнерские отношения со сторонними производителями конечных устройств, которые предоставляют готовый глубокий анализ. Например, DNA Analytics and Assurance извлекает данные о производительности конечных пользователей с устройств Apple iOS, чтобы помочь сетевым администраторам лучше выявлять проблемы производительности приложений и отключаться

4 Экстремальные сети ExtremeAnalytics.

Архитектура применения: аппаратная.

Платформа ExtremeAnalytics предназначена для существующих клиентов аппаратных и программных продуктов ExtremeSwitching, ExtremeRouting и ExtremeMobility. Эта сквозная аналитическая платформа собирает данные от стандартного протокола простого сетевого управления о потоке пакетов ( SNMP ). Кроме того, она собирает данные потоковой сетевой телеметрии с оборудования Extreme Networks. Платформу также можно расширить, установив виртуальные машины ExtremeAnalytics в одной или нескольких сетях провайдеров общедоступных облаков , включая AWS, Microsoft Azure и Google Cloud.

Известные особенности: ExtremeAnalytics обеспечивает тесную интеграцию с другими продуктами Extreme, чтобы превратить эти компоненты в устройства телеметрии и захвата пакетов. ExtremeAnalytics также содержит базу данных, которая немедленно идентифицирует более 2300 приложений и более 10000 отпечатков пальцев на основе обнаружения с использованием собранных данных по сети. Таким образом, нет необходимости устанавливать агенты или зонды по всей сети.

5. Nyansa Voyance.

Архитектура применения: облачная.

Nyansa - это pure-play поставщик решений, ориентированный на облачную платформу аналитики сетевого трафика Voyance. Продукт собирает данные от клиентов, приложений и серверов - в дополнение к сетевому потоку  Wi-Fi и данным захвата пакетов. Затем эта информация анализируется для создания подробных базовых показателей сети, которые можно использовать для обнаружения аномалий и проблем безопасности. Продукт также может предварительно предоставлять рекомендации для  изменения настроек с подробными инструкциями по оптимизации сети и приложений конечного пользователя. Готовые аналитические данные также могут использоваться совместно с другими инструментами управления облачной сетью, такими как Splunk и ServiceNow.

Примечательные особенности: программные сканеры Voyance устанавливаются в стратегических частях сети клиента для сбора данных телеметрии в потоковом режиме. Эти сканеры могут быть развернуты как виртуальные машины или аппаратные устройства. Физический или виртуальный коммутатор затем зеркалирует сетевые порты восходящей линии связи и отправляет все эти данные сканеру для сбора важной телеметрической информации и передачи ее сборщику Voyance.

Вывод

Все эти и иные существующие продукты продукты могут помочь сетевым инженерам точно определить проблемы производительности сети и приложений. Они также могут помочь администраторам, отвечающим за мониторинг приложений «программное обеспечение как услуга», а также за трафик, проходящий через их собственные центры обработки данных.

При эффективном использовании эти инструменты сетевой аналитики могут повысить безопасность, ускорить решение проблем, снизить эксплуатационные расходы и повысить гибкость сети. И несмотря на то, что они не считаются традиционными приложениями безопасности, эти аналитические платформы могут помочь защитить сети, выявляя проблемные области и исправляя их.

Стоит отметить, что полная автоматизация может повысить эффективность неопытных инженеров, но может создать самоуспокоенность и слепые зоны. С другой стороны, программное обеспечение для ручной аналитики может напугать новичков, которые не знают, с чего начать. Чтобы построить максимально эффективную систему,  важно найти тот баланс решений, который бы идеально вписывался в существующие ИТ-процессы.

В итоге, возможно, самым интригующим является то, что преимущество сетевой аналитики заключается в том, что она помогает инженерам ориентировать всю свою сетевую инфраструктуру на будущее. Многие полагают, что будущее корпоративных сетей находится в таких технологиях, как программно-определяемые сети, виртуализация сетевых функций и сети, основанные на намерениях (intent-based networking (IBN)) . Так или иначе, все эти передовые технологии используют сетевую аналитику в качестве важного компонента полной, сквозной автоматической и управляемой сети. Уже имея аналитическую часть общей головоломки, компании получают гораздо более упорядоченный переход к сетевым архитектурам следующего поколения.