首页 > 关于安博通 > 新闻中心
安博通看RSA2018:流量可视化如何做到1+1+1>3(上篇)
2018-04-26
293


安博通预测流量可视化2018三大发展态势,全方位解析国内外流量可视化厂商核心技术&产品方案


RSA会议所在的场馆Moscone Center分为南馆和北馆两个区域,两馆的连接大厅是参展人员、展商、媒体们的聚集地,也是人气最旺的地方。2018年的会场上,大厅的大屏上以可视化的方式展示了Cisco针对整体RSA会议定制的安全保障方案,其中关于流量方面的展现十分突出,吸引了不少眼球。


1.jpg

图:CiscoRSA会议上进行大屏可视化呈现


上述Cisco的呈现方案正是目前可视化潮流的缩影:如果说策略可视化这个概念还稍显小众的话,那么流量可视化的概念已经非常普及和流行了,相关的参展厂商也为数众多,展位上各种流量可视化的页面呈现让人看得眼花缭乱。在这样发展变革的趋势下,安博通产品经理调研流量可视化产品时,重新找到了一个分类进行切入。


NPBs产品引入


在国内,传统上我们比较偏向将流量可视化归类为APM产品,主要关注网络性能方向。但随着解决方案的发展,流量分析这一核心能力所能解决的问题,或者说技术的需求方已经不只局限于网络性能(Network Performance),所以安博通产品经理在本次会议上着重调研了Gartner的另一个技术面覆盖更广的分类:NPBs


2.jpg

图:NPBs产品架构示意图


NPBs,即(Network Packet BrokersGartner对其定义为:Devices that receive network traffic as input from multiple SPAN ports, then manipulate the traffic by breaking it down into chunks of related data and transmitting the data chunks to their respective monitoring and security tools.从定义上看,NPBs产品执行流量收取,并将报文拆开分块进行分析,并提供结果给可视化和安全工具进行下一步业务处理。安博通产品经理认为NPBs的定义包含更多的业务涵义,所以更适合匹配市场上的流量可视化产品。


通过调研,安博通产品经理认为NPBs产品的组成模式是1+1+1,即:分流负载+提取分析+数据应用,其中分流负载部分执行物理层和链路层的流量分发(如分光)以及流量负载均衡(按特定规则进行报文分类处理)、提取分析部分执行报文内容还原(如SSL卸载和标签剥离)和关键信息提取(如应用层审计、文件重组)、数据应用部分执行信息耦合(API接口)和调用(可视化呈现/威胁分析/性能管理等)。这三个部分的逻辑从获取到加工再到应用层层递进,可包括多数主流的流量可视化产品的设计思路。


3.jpg

图:NPBs产品组成模式示意图


2018三大发展趋势


针对参加2018RSA大会的流量可视化厂商,安博通产品经理进行了现场交流和方案整理,总结出以下三个主要发展趋势:


1
流量分析发展为标准中间件


RSA会议上,安博通产品经理发现基于流量分析能力而衍生出来的解决方案越来越多,例如基于流量匹配信息来梳理安全策略、通过分析应用层内容进行用户画像、通过分析空口传输参数进行RANcontinuous radio access)网络优化等。随着更多应用需要流量深层内容作为信息输入,流量分析和可视化能力已经成为一种标准的中间件,正在被定义得越来越标准:从最基本的五元组信息、用户、时间信息,到七层应用内容、SSL加密信息、传输质量参数,再到实时分析、历史查询、可视化呈现,所有层面上的需求都在通用化。


在中间件趋势下,竞品厂商之间也会通过方案合作的方式互相补充流量分析能力。例如,同样作为领先的NPBs厂商,GigamonFlowmon各自擅长安全方案和性能管理方案,这两家厂商也联合推出了安全+性能解决方案:Gigamon将流量进行解析后通过API接口按照需要的格式提供给Flowmon平台以实现双重分析,过程中Gigamon的流量分析能力就完全作为中间件出现,这样的合作案例在美国非常普遍。


4.jpg

图:GigamonFlowmon推出联合解决方案


说到国内比较火热的安全态势感知,美国国家安全系统委员会对其的定义是:在一定的时间和空间范围内,企业的安全态势及其威胁环境的感知。理解这两者的含义以及意味的风险,并对他们未来的状态进行预测。在态势感知的最初始阶段,就是由探针+Sensor组件来进行基于原始流量的信息采集感知工作,再进行安全大数据分析,从而实现预测和响应。这里的提到的探针和Sensor组件,其实就对应了NPBs产品的中间件概念,所以说NPBs是态势感知方案的重要组件和数据来源。


2
架构:从一次拆包到一次解析


一次拆包的概念在UTM切换到NGFW的时代被普遍提及,相对不同功能模块多次拆包进行流量解析的方式,NGFW产品强调使用统一流量识别引擎只进行一次拆包,获得更高性能和更强的架构扩展性。如今,当安全防护已经进阶到APT0day、未知威胁的阶段时,我们的网络中经常存在“多次解析”的问题。例如,当我们在核心交换机上旁路部署了APMAPT防御、WAF等产品时,就会存在一份流量进行多次旁路的情况,此时资源消耗型的任务就会带来重复开销:每个旁路系统都会进行一次SSL解密、文件还原、内容解析...更大的问题在于扩展性,当网络带宽从5G升级到10G时,旁路的流量也翻倍,此时所有的旁路系统也要进行性能升级,这带来了运维和投资的双重负担


所以在NPBs产品上,厂商正在实现一次解析的方案。例如Gigamon的实现方案如下图所示:由交换机将流量执行一次旁路到Gigamon设备后(分流负载),执行一次全解析过程(提取分析),再利用合作开发的API接口将文件MD5、指纹信息、流量统计值等关键信息分发给多个旁路系统(数据应用),最终完成业务流程闭环。


5.jpg

图:Gigamon的一次解析方案示意图


值得一提的是,安博通产品经理在调研中发现,大多数平台产品不需要执行元数据(即Metadata,指原始报文文件)全存储,而是可选只存储Header等关键信息的模式,这种模式介于元数据存储和日志记录之间,平衡了存储空间和信息颗粒度之间的冲突。


观察网络边界的安全部署方案,从最早的“穿糖葫芦”到“多次拆包”,再到“多次解析”,再到现在的 “一次解析”,一直保持着进步更新的趋势。总体来说,NPBs产品方案的出现,让边界安全的部署加简洁高效,让安全方案发挥得更加充分。


6.jpg

图:一次解析+多次复用的流程示意图


3
数据应用部分的常见方向


分析2018RSA会议中出现的NPBs厂商,一般会基于流量分析的基础能力之上以研发或方案合作的方式推出几个方向的产品,罗列如下供参考:


l  安全方向:云抗DAPT防御、未知威胁分析、威胁情报等产品。


l  APM方向:网络/应用质量管理和分析、流量统计分析与可视化呈现等产品。


l  特定应用方向:社交舆情监控、离职风险分析、WLAN/LTE网络质量分析、视频会议质量分析、云应用SLA管理等产品。


l  虚拟化和云方向:公有云、虚拟部署、数据中心东西向等场景的流量分析呈现等产品。