Распределенные, веб-, мобильные приложения, облачные сервисы и повсеместный доступ в Интернет обеспечивают широчайшие возможности получения, обработки и распространения информации. Но из-за растущей сложности архитектур сетей и приложений все труднее обеспечивать нужные уровни безопасности, надежности и производительности сетей и приложений, работающих поверх них.
В случае инцидента информационной безопасности бывает очень сложно или даже невозможно быстро определить, что именно произошло, как это случилось и какие данные были скомпрометированы. Кроме того, нередко возникают трудно диагностируемые сбои в работе сети и приложений, которые снижают производительность труда сотрудников предприятия, крайне негативно сказываются на его репутации и степени удовлетворенности заказчиков.
Для решения перечисленных выше проблем большое значение имеет история сети (Network History). Все совершаемые в сети действия, включая зловредные, проявляются в ее трафике. Но когда завершается передача пакетов, имеющих отношение к тому или иному действию, в сети остаются лишь «слабые следы» от него. Специалистам из команд SecOps и NetOps приходится реконструировать действия, используя данные из журнальных файлов, метаданные NetFlow и другие данные. Такая реконструкция является очень медленным и зачастую безрезультативным процессом. Гораздо эффективнее использовать устройства EndaceProbe, которые могут записывать копии всех пакетов, передаваемых по сети. При возникновении сетевой проблемы или инцидента информационной безопасности у специалистов есть возможность изучить связанный с этим трафик и точно узнать, что произошло.
Устройства EndaceProbe помогают заказчикам гарантировать безопасность и производительность сетей, давая возможность записывать точную историю событий в сетях. Используя эту историю, специалисты из команд NetOps, SecOps, IT и DevOps могут заглянуть в прошлое, чтобы быстро и точно реконструировать события и должным образом среагировать на них.
Множество устройств EndaceProbe можно объединить в единую централизованно управляемую инфраструктуру записи и анализа сетевого трафика, обеспечивающую контроль трафика во всей крупномасштабной сети. С каждым новом подключенным устройством увеличивается общая емкость EndaceFabric. Устройства EndaceProbe можно распределять по сети для широты охвата трафика и объединять в стек в одном месте, что увеличивает глубину памяти и дает возможность захватывать трафик с каналов пропускной способностью 100 Гбит/с и выше. Стек устройств EndaceProbe является одним логическим устройством.
Инфраструктура EndaceFabric состоит из следующих основных компонентов:
Устройство EndaceProbe имеет Application Dock, виртуальную среду для хостинга приложений, в которой пользователи могут запускать нужные аналитические приложения (коммерческие, с открытым исходным кодом, написанные самими пользователями), предназначенные для обеспечения информационной безопасности и мониторинга производительности сети. Также возможна интеграция с внешними защитными (IDS, SIEM) и мониторинговыми (NPM, APM) приложениями через Endace REST API. Данный API обеспечивает тесную связь рабочих процессов. Например, при появлении тревожного оповещения в ПО информационной безопасности аналитику может быть выдан отфильтрованный фрагмент истории сети, имеющий отношение к данному оповещению. Возможность использования записанной истории сети широким набором аналитических приложений третьих фирм значительно ускоряет расследование инцидентов информационной безопасности и диагностику сетевых проблем.
Компания Endace реализует партнерскую программу Fusion, целью которой является развитие экосистемы лучших в отрасли защитных и мониторинговых приложений, совместимых с устройствами EndaceProbe. Участники программы — ведущие производители ПО кибербезопасности, NPM и APM — используют Endace REST API и Application Dock для обеспечения доступа своих приложений к записанной истории сети с целью упрощения и автоматизации обнаружения и диагностики сетевых проблем. Помимо интеграции с коммерческими приложениями, пользователи устройств EndaceProbe нередко устанавливают в Application Dock защитные и мониторинговые приложения с открытым исходным кодом, такие как SNORT, Suricata, Bro и Argus.
Компания Endace выпускает широкий модельный ряд аппаратных устройств EndaceProbe, предназначенных для разных мест установки (от ядра сети до удаленного офиса), и виртуальный пробник EndaceProbe vProbe, разработанный для контроля трафика виртуализированных сред. Аппаратные модели EndaceProbe основаны на высокопроизводительных серверных платформах и оборудовании ввода-вывода, которое поддерживает лучшую в своем классе фирменную технологию захвата и генерации данных DAG (Data Acquisition and Generation), обеспечивающую 100%-ный захват пакетов и точное воспроизведение записанного трафика. Аппаратные модели различаются габаритными размерами, емкостью внутренней дисковой памяти, производительностью и другими параметрами (см. таблицу ниже).
Модели | Серия EP-9200 G4 | Серия EP-8200 G4 | Серия EP-4100 G4 | Серия EP-4000 G4 | EP-124 | EP-114 | vProbe |
Высота шасси | 4 U | 2 U | 1 U | 1 U | 1 U, малая глубина | 1 U, малая глубина | Виртуальное устройство |
Емкость внутренней дисковой памяти, Тбайт | 432 | 144 | 7,68 (SSD) | 48 | 3,8 (SSD) | 3,8 (SSD) | 1 |
Емкость со сжатием и Smart Truncation, Тбайт | >1000 | >360 | >20 | >120 | >7 | >7 | - |
Макс. стабильная скорость записи на диски, Гбит/с | 40 | 15 | 20 | 3 | 1 | 0,5 | 0,5 |
Макс. число одновременных потоков | 1 млн | 1 млн | 1 млн | 500 тыс. | 200 тыс. | 200 тыс. | 200 тыс. |
Макс. число потоков/с | 100 тыс. | 100 тыс. | 100 тыс. | 50 тыс. | 20 тыс. | 20 тыс. | 20 тыс. |
Макс. число экземпляров Application Dock | 4 или 12 | 4 или 12 | 4 или 12 | 4 или 12 | 2 | 2 | Неприменимо |
Число и тип портов |
8 × 1/10GbE или 2 × 40GbE |
8 × 1G/10GbE или 2 × 40GbE |
4 × 1/10GbE или 1 × 40GbE |
4 × 1/10GbE или 1 × 40GbE |
4 × 1/10GbE или 1 × 40GbE |
4 × 10/100/ 1000Base-T или 1GbE |
1 × virt NIC или 1 × 1GbE NIC |
Типичные места установки | Ядро сети, ЦОДы | Ядро сети, ЦОДы | Ядро сети, ЦОДы | Филиалы, WAN-шлюзы | Удаленные объекты, филиалы | Удаленные объекты, филиалы | Виртуальные среды |
Компактность | + | + | + | + | + | ||
Высокая производительность | + | + | + | + | |||
Глубокая память | + | + |