分析网络中的数据包级数据已经成为组织安全架构中的一个重要组成部分。包级别可见性提供了必要的信息,以防止影响业务操作的安全漏洞。
在实现安全监控解决方案时,必须考虑到引入安全漏洞的潜在风险——特别是当该方法利用交换机上的SPAN/Mirror端口时。
通常认为,在交付给监视或安全工具之前,使用SPAN/Mirror端口并在Network Packet Broker中将这些提要聚合在一起是最简单和成本最低的方法。但是有什么风险呢?
SPAN接口容易人为错误
SPAN/Mirror端口涉及管理干预和交换机的重新配置。这并不总是一项简单的任务,特别是在还涉及vlan的情况下,而且很容易出错。
SPAN端口不提供完整的可见性
SPAN/Mirror端口不能保证100%的数据包可见性。由于它们在Switch内的优先级较低,如果当前网络利用率较高,则优先级将被分配给当前网络端口,而SPAN/Mirror端口将丢弃报文。虽然正常情况下网络流量利用率可能很低,但在安全问题期间,流量水平通常会显著增加,导致能见度下降。这不是安全监视所推荐的可见性访问点,因为SPAN不是为连续监视应用程序而设计的。
SPAN接口可以引入双向流量
SPAN/Mirror端口是一个物理交换机端口,因此具有“发送”和“接收”功能。每个SPAN/Mirror连接最终都是进入当前网络的后门,因此存在潜在的安全风险。
利用数据二极管抽头可以解决这三个漏洞。
配置数据二极管水龙头
网络可见性的最佳实践是始终使用network TAP将流量直接从网络链接复制到安全和监控工具。当网络水龙头创建一个精确的复制的两边的交通流,连续,24/7/365,而不影响或损害网络的完整性。
作用于物理层面的网络水龙头可以一次性安装,不需要重新配置或拆卸。网络TAP将立即消除SPAN/Mirror端口的配置错误和先前突出显示的丢失数据包的风险。
数据二极管网络接头将该流量的单向副本发送到带外监视工具,两个设备之间的链接就不会受到影响。数据二极管监控端口和网络之间没有物理连接,消除了来自目的地的任何可能的入侵。
在某些情况下,仍然需要使用SPAN/Mirror端口来实现可见性。在这些情况下,“最佳实践”是将SPAN/Mirror端口连接到Data Diode SPAN TAP,以将镜像的SPAN数据传递到监控和安全设备上。以这种方式使用单向数据二极管SPAN水龙头消除了双向流量,确保没有数据返回到Switch SPAN/Mirror端口。
数据二极管跨距接头是专门构建的网络硬件设备,通过物理硬件隔离,强制交换机SPAN链路的单向数据流,确保关键数字系统的保护,例如工业控制系统(ICS)来自网络入侵的威胁。
希望添加数据二极管TAP可见性,但不确定从哪里开始?加入我们的简短网络设计- it咨询或演示。没有义务——这是我们喜欢做的事。
