Мережева аналітика як життєво важлива технологія забезпечення керованості та безпеки сучасної мережі

На сьогоднішній день такі технології як мобільний інтернет, хмарні, обчислення, інтернет речей та багато інших стають центральним елементом, що обіцяє допомогти у багатьох сферах діяльності людини. При цьому телекомунікаційні мережі забезпечують безперервний рух величезних обсягів структурованих та неструктурованих даних між цими пристроями, які часто мають критично важливе значення.

На протязі всього життєвого циклу телекомунікаційна інфраструктура, маршрутизатори, комутатори, сервери, обладнання ЦОД, програмні програми, віртуальна інфраструктура - досить часто перебувають під загрозою незапланованих, непередбачуваних подій, таких як: збої в роботі обладнання та виходом його з ладу, прояв програмних помилок, збої в роботі мережі, людські помилки, стихійні лиха, пожежі та багато інших зовнішніх загроз. Тому в будь-якій організації втрата або припинення функціонування мережі через аварії або катастрофи, неминуче може призвести до втрати клієнтів, репутаційних витрат і відповідно недоотримання прибутку.

Враховуючи ситуацію, що склалася, з впевненістю можна сказати, що багато ІТ-керівників та інженерів почали висувати більш високі вимоги до питання забезпечення безперервності роботи мережевих сервісів.

Але для створення оптимальної з точки зору витрат і максимально ефективної мережевої системи необхідно мати точне уявлення - які саме події відбуваються в мережній інфраструктурі і яким чином на них реагувати. Допомогти цьому покликана система збору даних у режимі реального часу, де мережні пристрої, безперервно передають дані, пов'язані зі станом мережі, центр обробки даних та їх аналізу.

Однак велика кількість компонентів інфраструктури призводить до того, що спроба вручну проаналізувати та усунути неполадки трафіку, що проходить через безліч точок доступу, комутаторів та маршрутизаторів, є майже нездійсненним завданням навіть для найорганізованішої команди фахівців.

Сучасні інструменти мережевої аналітики забезпечують вихід із цього трудомісткого та складного процесу. Програмне забезпечення для мережевої аналітики спираючись на традиційні протоколи та методи моніторингу, використовує складніші методи збору даних. Надалі всі зібрані дані аналізуються як реального часу з використанням штучного інтелекту і машинного навчання. Головною перевагою аналітичної платформи, що об'єднує всі джерела даних, є можливість в автоматичному режимі опрацьовувати набагато більшу кількість інформації, ніж могли безліч фахівців у ручному режимі раніше. Отримані в такий спосіб знання дозволять як оцінювати поточний стан мережі а й прогнозувати можливий розвиток подій у майбутньому ( використовуючи при цьому системи предиктивной аналітики).

Щоб скористатися перевагами мережевої аналітики, підприємству потрібна інфраструктура, здатна генерувати дані про продуктивність та використання мережі. Засоби моніторингу мережі, які здійснюють аналіз даних, що передаються по ній, можуть бути програмними або апаратними.

Потоковий мережевий моніторинг відбувається на умовних, кількох взаємопов'язаних рівнях:

1. Рівень програм.

2. Рівень засобів моніторингу.

3. Рівень доступу.

4. Рівень мережі.

Програмні інструменти аналізу трафіку можуть бути безкоштовними (наприклад, nTop або Wireshark) або платними. Останні характеризуються ширшими функціональними можливостями, і навіть клієнти комерційних коштів можуть скористатися підтримкою постачальника. Очевидно, що підприємствам і розвиненим користувачам краще використовувати платні версії.

Для початку проектування системи моніторингу мережі рекомендується провести аналіз середовища та додатків у якому вони будуть запускатися та скласти список поточних та майбутніх вимог до моніторингу інфраструктури. Чи будуть це інструменти для класичної мережевої архітектури розгортання мережі або це буде “хмара” - залежить від оцінки бюджету та можливостей інвестувати в моніторинг.

Вибір інструменту для моніторингу системи є складним завданням, через велику кількість продуктів на ринку.

Голова консалтингової фірми Кен Мілберг "Unix-Linux Solutions". має більш ніж 20-річний досвід роботи з системами Unix та Linux, а також великий технічний та функціональний досвід роботи з AIX, HP, SCO та Solaris - рекомендує своїм клієнтам три кращі продукти для програмного моніторингу, таких як:

1. BMC Patrol . BMC Patrol – доступний для багатьох платформ. BMC Patrol Enterprise Manager є надзвичайно масштабованим і тісно інтегрований з іншими продуктами BMC, включаючи ті, які заглиблюються в моніторинг системи. BMC Patrol Enterprise Manager функціонує як центральний операційний менеджер і об'єднує оповіщення з усіх систем. Він пропонує діагностику проблем та їх вирішення, надає повідомлення та виконує завдання операторського типу. Patrol Enterprise Manager використовує Sybase як двигун бази даних, а REXX і Perl використовуються для автоматизації сценаріїв. Консоль адміністратора Unix написана Smalltalk, об'єктно-орієнтованою мовою, а програми на C використовуються для забезпечення фільтрації попереджень. Клієнти Windows використовують Patrol Explorer Patrol Enterprise Manager, який використовує ODBC для зв'язку з основним сервером Enterprise. Сама консоль працює на Solaris, HP-UX та AIX.

2. Big Brother. Big Brother, доступний як в умовно-безкоштовній, так і платній версіях, є веб-системою, що дозволяє контролювати практично будь-який тип сервера і підтримує більше 200 типів пристроїв. Вбудована підтримка Big Brother дозволяє системі відстежувати дисковий простір, використання процесора, повідомлення про помилки та процеси користувача. Також цей продукт доступний для невеликих клієнтів, і його набагато легше налаштувати, ніж багато інших. Крім того, продукт інтегрований з клієнтськими / серверними програмами Foglight та Spotlight для наскрізного моніторингу системи

3. IBM Tivoli Monitoring – це інструмент моніторингу системи підприємства. Він забезпечує управління розподіленою та хост-системами через одну консоль підприємства. Суть системи - це Tivoli Enterprise Portal, клієнт для ПК або браузера, який дозволяє контролювати та переглядати все підприємство. Він збирає дані про програми від агентів, а потім передає дані на сервер управління для збору та фільтрації. Сервер керування підтримує AIX, Solaris, Linux (Red Hat та SUSE) та Windows. Його база даних працює на DB2. Він має посилання на програми та бази даних, такі як Oracle, що забезпечує підтримку поза стандартним моніторингом сервера.

Апаратні засоби можна розділити на дві умовні категорії. Перша - рішення на базі серверних або комп'ютерних платформ зі спеціальними платами захоплення пакетів DAG (Data Acquisition and Generation), з встановленим програмним забезпеченням аналізу захопленого трафіку, а друга - це інтегровані пристрої мережевого моніторингу типу plug-and-play.

На відміну від звичайних мережевих адаптерів, плати DAG здатні захоплювати (в оперативну пам'ять хост-машини) абсолютно весь трафік, що подається на них (втрати пакетів практично виключені) на повній швидкості мережевих каналів, створюючи при цьому мінімальне навантаження на центральні процесори хост-машини, що дозволяє задіяти майже всю їхню потужність для аналізу захоплених даних і тим самим значно прискорити його.

Такі інструменти, як мережні відгалужувачі, що відносяться до другої категорії, завжди забезпечує повний контроль переданого трафіку. Цим дані пристрою вигідно відрізняються від SPAN-порту в комутаторі. Справа в тому, що комутатор відфільтровує дуже короткі пакети та пакети з помилками CRC, внаслідок чого вони не можуть контролюватись засобом моніторингу, підключеним до SPAN-порту. Крім того, при перевантаженні комутатор може відкидати пакети, що передаються в рамках SPAN-сесії, оскільки ці пакети обробляються як мають нижчий пріоритет, ніж у звичайних пакетів, що пересилаються між портами комутатора. До того ж, копіюючи трафік у SPAN-порт, комутатор змінює часові співвідношення на рівні пакетів (інтервали, затримки) та збільшує джиттер, що погіршує точність аналізу аудіо- та відеотрафіку.

Мережевий відгалужувач, чи він «мідним» або волоконно-оптичним, не знижує надійності лінії, в розрив якої він включений. Справа в тому, що у разі збою в подачі електроживлення «мідний» відгалужувач продовжить пропускати трафік лінії з одного свого мережевого порту на інший, а типовий волоконно-оптичний відгалужувач повністю пасивний і взагалі не потребує електроживлення. Фактично типовий волоконно-оптичний відгалужувач є найпростішим оптичним спліттером , який сумісний з різними мережевими технологіями канального рівня, наприклад Ethernet і ATM. Оснастивши (на етапі будівництва кабельної інфраструктури) критично важливі магістральні лінії зв'язку волоконно-оптичними мережевими відгалужувачами, потім до них можна буде підключати будь-які пристрої моніторингу або забезпечення інформаційної безпеки, не перериваючи передачі трафіку цими лініями.

Мережеві відгалужувачі та пристрої моніторингу, що підключаються до них, для забезпечення інформаційної безпеки зазвичай не мають IP-адрес, тому вони логічно ізольовані від іншого мережевого обладнання і не можуть бути атаковані хакерами.

До яскравого прикладу "мідного" відгалужувача відносяться такі продукти Ixia, як Gig Zero Delay Ta, 10/100/1000BaseT Tap. Оптичні відгалужувачі представлені пристроями сімейства Flex Tap.

Перші підтримують максимальну швидкість передачі від 10 до 1000 Мбіт/с, а другі оптимізовані для різних швидкостей передачі: 1, 10, 40 або 100 Гбіт/с. Випускаються моделі волоконно-оптичних відгалужувачів для одномодового або багатомодового волокна, з різними типами роз'ємів та коефіцієнтами розподілу потужності.

На вирішальному етапі впровадження засобів мережевої аналітики існує одна з важливих проблем, що стоять перед багатьма організаціями і полягає в тому, як інтегрувати існуючі системи моніторингу та аналітики від різних постачальників. У ряді випадків це буває неможливо, оскільки багато аналітичних продуктів не можуть імпортувати пропрієтарні дані телеметрії, що мають несумісні стандарти. На даний момент обмежує специфічність інформації, яку може оцінити аналітичне програмне забезпечення. В результаті може виникнути ситуація, коли ці дані доведеться вводити вручну, що може бути занадто обтяжливим для ІТ-фахівців.

Однак інструменти мережного аналізу таких компаній, як CA Technologies (CA Performance Management), ExtraHop (ExtraHop Performance) LiveAction (LiveNX) та Nyansa (Voyance) вирішують проблему серед різних постачальників.

З іншого боку, якщо компанія управляє мережею, оснащеною в основному одним постачальником рішень, аналітична платформа цього постачальника, швидше за все, може запропонувати додаткові функції та переваги в рамках своєї власної екосистеми. Крім того, великі постачальники рішень мають великі можливості та ресурси для надання можливостей постійної підтримки в глобальному масштабі та цілодобово.

Використовуючи обширні дослідження ринку мережевої аналітики, а також дані опитувань стосуються моніторингу всієї або частини корпоративної мережі або гібридного/мульти-хмарного середовища з використанням розширеного збору даних, об'єднання даних та аналітики, фахівці компанії TechTarget рекомендують ознайомити з прикладами 5 видів продуктів для мережевого моніторингу та аналітики. :

1. Aruba Networks NetInsight.

Архітектура застосування: хмарна.

Аналітична платформа NetInsight орієнтована на бездротові, мобільні обчислення та IoT. Дані надходять із кількох джерел, включаючи контролер бездротової локальної мережі Aruba, окремі точки бездротового доступу (AP) Aruba, зовнішній протокол динамічної конфігурації хоста та сервери автентифікації користувачів. Всі дані надсилаються на апаратний пристрій збору даних, який управляється локально. Зібрані дані потім аналізуються у хмарі для самооптимізації, забезпечення безпеки додатків, визначення базової лінії та виявлення аномалій.

Важливі особливості: NetInsight може бути інтегрований із бездротовими мережами Аруба, включаючи платформи управління мережами AirWave та ClearPass. NetInsight також пропонує режим Green AP. При включенні AI (штучний інтелект) на аналітичній платформі визначає, які бездротові точки доступу не використовуються, та відключає радіоприймачі для економії енергії, не впливаючи на підключення кінцевих пристроїв.

2. CA Technologies CA Performance Management.

Архітектура застосування: апаратна.

CA Performance Management - це мультивендорна платформа для локального або віртуального розгортання. Ця наскрізна платформа мережевого аналізу добре інтегрується з традиційними програмно-визначуваними мережами (SDN), SD-WAN та гібридними/мультихмарними середовищами. Є однією з найбільш комплексних платформ на ринку мережевої аналітики завдяки високому рівню деталізації, масштабованості та глибокої самонавчальної діагностики. Це дозволяє мережним адміністраторам точно налаштовувати свої мережі, щоб вони могли надавати високо оптимізовані програми та продуктивність кінцевих користувачів.

Примітні особливості: CA Performance Management розроблений для середовищ із кількома постачальниками, оскільки він добре інтегрується з продуктами більшості великих постачальників корпоративних мереж. Він призначений для середовищ зі складною мережевою архітектурою, включаючи високо віртуалізовані центри обробки даних, SDN, віртуалізацію мережевих функцій та мульти-хмар. CA Performance Management може об'єднати моніторинг та аналіз мережі в єдину панель керування та перегляду. API-інтерфейси дозволяють автоматизувати завдання за допомогою інтеграції стороннього програмного забезпечення.

3. Cisco DNA Analytics та забезпечення.

Архітектура застосування: апаратна.

Продукт Cisco DNA Analytics and Assurance є частиною комплексної платформи управління мережею цифрової архітектури (DNA). За словами Cisco, компонент DNA Analytics and Assurance перетворює кожну точку в мережі на датчик. Це дозволяє пристроям Cisco почати потокову передачу стандартної та мережевої телеметричної інформації до центру обробки аналітики та дозволяє аналітичній платформі автоматизувати попереджувальне усунення проблем з продуктивністю за допомогою автоматичних змін конфігурації.

Відомі функції: продукт пропонує запатентовану інтеграцію з мережевим обладнанням Cisco, включаючи маршрутизатори та бездротові локальні мережі. Його здатність перетворювати бездротові точки доступу в інтелектуальні датчики дозволяє платформі Analytics і Assurance збирати дані щодо поведінки користувачів та пристроїв, що дозволяє підприємствам вирішувати проблеми у міру їх виникнення. Cisco також має ексклюзивні партнерські відносини зі сторонніми виробниками кінцевих пристроїв, які надають готовий глибокий аналіз. Наприклад, DNA Analytics and Assurance витягує дані про продуктивність кінцевих користувачів з пристроїв Apple iOS, щоб допомогти мережевим адміністраторам краще виявляти проблеми продуктивності програм і відключатися

4 Екстремальні мережі ExtremeAnalytics.

Архітектура застосування: апаратна.

Платформа ExtremeAnalytics призначена для існуючих клієнтів апаратних та програмних продуктів ExtremeSwitching, ExtremeRouting та ExtremeMobility. Ця наскрізна аналітична платформа збирає дані від стандартного протоколу простого мережного управління потоком пакетів ( SNMP ). Крім того, вона збирає дані потокової мережевої телеметрії з обладнання Extreme Networks. Платформу також можна розширити, встановивши віртуальні машини ExtremeAnalytics в одній або кількох мережах провайдерів загальнодоступних хмар, включаючи AWS, Microsoft Azure та Google Cloud.

Відомі особливості: ExtremeAnalytics забезпечує тісну інтеграцію з іншими продуктами Extreme, щоб перетворити ці компоненти на пристрої телеметрії та захоплення пакетів. ExtremeAnalytics також містить базу даних, яка негайно ідентифікує понад 2300 додатків та понад 10000 відбитків пальців на основі виявлення з використанням зібраних даних через мережу. Таким чином, немає потреби встановлювати агенти або зонди по всій мережі.

5. Nyansa Voyance.

Архітектура застосування: хмарна.

Nyansa – це pure-play постачальник рішень, орієнтований на хмарну платформу аналітики мережевого трафіку Voyance. Продукт збирає дані від клієнтів, додатків та серверів - на додаток до мережного потоку Wi-Fi та даних захоплення пакетів. Потім ця інформація аналізується для створення детальних базових показників мережі, які можна використовувати для виявлення аномалій та проблем безпеки. Продукт також може попередньо надавати рекомендації для зміни настройок з детальними інструкціями щодо оптимізації мережі та програм кінцевого користувача. Готові аналітичні дані також можуть використовуватися спільно з іншими інструментами керування мережею хмар, такими як Splunk і ServiceNow.

Примітні особливості: програмні сканери Voyance встановлюються у стратегічних частинах мережі клієнта для збору даних телеметрії у потоковому режимі. Ці сканери можуть бути розгорнуті як віртуальні машини чи апаратні пристрої. Фізичний або віртуальний комутатор потім дзеркує мережні порти висхідної лінії зв'язку і відправляє всі ці дані сканеру для збору важливої телеметричної інформації та передачі її збирачеві Voyance.

Висновок

Всі ці та інші існуючі продукти можуть допомогти мережевим інженерам точно визначити проблеми продуктивності мережі і додатків. Вони також можуть допомогти адміністраторам, які відповідають за моніторинг програм «програмне забезпечення як послуга», а також за трафік, що проходить через власні центри обробки даних.

При ефективному використанні ці інструменти мережної аналітики можуть підвищити безпеку, прискорити вирішення проблем, знизити експлуатаційні витрати та підвищити гнучкість мережі. І незважаючи на те, що вони не вважаються традиційними програмами безпеки, ці аналітичні платформи можуть допомогти захистити мережі, виявляючи проблемні області та виправляючи їх.

Варто відзначити, що повна автоматизація може підвищити ефективність недосвідчених інженерів, але може створити самозаспокоєність та сліпі зони. З іншого боку, програмне забезпечення для ручної аналітики може налякати новачків, які не знають з чого почати. Щоб побудувати максимально ефективну систему, важливо знайти той баланс рішень, який ідеально вписувався б у існуючі ІТ-процеси.

У результаті, можливо, найбільш інтригуючим є те, що перевага мережевої аналітики полягає в тому, що вона допомагає інженерам орієнтувати всю мережну інфраструктуру на майбутнє. Багато хто вважає, що майбутнє корпоративних мереж знаходиться в таких технологіях, як програмно-визначені мережі, віртуалізація мережевих функцій та мережі, що ґрунтуються на намірах (intent-based networking (IBN)). Так чи інакше, всі ці передові технології використовують мережеву аналітику як важливий компонент повної, наскрізної автоматичної та керованої мережі. Вже маючи аналітичну частину загальної головоломки, компанії отримують набагато впорядкованіший перехід до мережевих архітектур наступного покоління.