分析网络中的数据包级别数据已成为组织安全架构中的重要组成部分。数据包级别可见性提供了保护影响业务运营的安全漏洞所需的基本信息。
实施安全监控解决方案时,必须考虑引入安全漏洞的潜在风险 - 尤其是当该方法利用交换机上的跨度/镜像端口时。
通常认为,在交付给监视或安全工具之前,使用SPAN/Mirror端口并在Network Packet Broker中将这些提要聚合在一起是最简单和成本最低的方法。但是有什么风险呢?
跨度端口容易出错
跨度/镜像端口涉及管理干预和交换机的重新配置。这并不总是一个简单的任务,尤其是vlan也涉及的地方,并且容易出错。
跨度端口不提供完整的可见性
SPAN/Mirror端口不能保证100%的数据包可见性。由于它们在Switch内的优先级较低,如果当前网络利用率较高,则优先级将被分配给当前网络端口,而SPAN/Mirror端口将丢弃报文。虽然正常情况下网络流量利用率可能很低,但在安全问题期间,流量水平通常会显著增加,导致能见度下降。这不是安全监视所推荐的可见性访问点,因为SPAN不是为连续监视应用程序而设计的。
SPAN接口可以引入双向流量
SPAN/Mirror端口是一个物理交换机端口,因此具有“发送”和“接收”功能。每个SPAN/Mirror连接最终都是进入当前网络的后门,因此存在潜在的安全风险。
利用数据二极管抽头可以解决这些漏洞中的所有三种漏洞。
部署数据二极管抽头
网络可见性的最佳实践是始终使用网络点击,直接从网络链接复制流量到安全和监控工具。随着网络抽头的,在不受影响或损害网络完整性的情况下,不断地创建流量的两侧的精确副本,连续,24/7/365。
可以在物理级别网络水龙头上安装一次,并且永远不需要重新配置或删除。网络水龙头将立即删除先前突出显示的配置错误和丢弃数据包的Span / Mirror Port风险。
数据二极管网络水龙头将该流量的单向副本发送到带外监控工具,并且两个设备之间的链接不受影响。数据二极管监视端口和网络之间没有物理连接,消除了目的地的任何可能的入侵。
在某些情况下,仍然需要使用SPAN/Mirror端口来实现可见性。在这些情况下,“最佳实践”是将SPAN/Mirror端口连接到Data Diode SPAN TAP,以将镜像的SPAN数据传递到监控和安全设备上。以这种方式使用单向数据二极管SPAN水龙头消除了双向流量,确保没有数据返回到Switch SPAN/Mirror端口。
数据二极管跨距接头是专门构建的网络硬件设备,通过物理硬件隔离,强制交换机SPAN链路的单向数据流,确保关键数字系统的保护,例如工业控制系统(IC),来自入境网络威胁。
寻求添加数据二极管轻触可见性,但不确定在哪里开始?加入我们的简短网络设计- it咨询或演示。没有义务 - 这就是我们喜欢做的事情。
