نظارت بر شبکه «پیشخدمت نامرئی» – NPB: افسانه مدیریت ترافیک شبکه در عصر دیجیتال

با توجه به تحول دیجیتال، شبکه‌های سازمانی دیگر صرفاً «چند کابل متصل به کامپیوترها» نیستند. با گسترش دستگاه‌های اینترنت اشیا، مهاجرت خدمات به فضای ابری و افزایش پذیرش کار از راه دور، ترافیک شبکه مانند ترافیک در یک بزرگراه به شدت افزایش یافته است. با این حال، این افزایش ترافیک چالش‌هایی را نیز به همراه دارد: ابزارهای امنیتی نمی‌توانند داده‌های حیاتی را ضبط کنند، سیستم‌های نظارتی با اطلاعات اضافی غرق می‌شوند و تهدیدات پنهان در ترافیک رمزگذاری شده، شناسایی نمی‌شوند. اینجاست که «پیشخدمت نامرئی» به نام کارگزار بسته شبکه (NPB) به کار می‌آید. این کارگزار که به عنوان یک پل هوشمند بین ترافیک شبکه و ابزارهای نظارتی عمل می‌کند، جریان آشفته ترافیک را در کل شبکه مدیریت می‌کند و در عین حال داده‌های مورد نیاز ابزارهای نظارتی را به طور دقیق در اختیار آنها قرار می‌دهد و به شرکت‌ها کمک می‌کند تا چالش‌های شبکه «نامرئی و غیرقابل دسترس» را حل کنند. امروز، درک جامعی از این نقش اصلی در عملیات و نگهداری شبکه ارائه خواهیم داد.

۱. چرا شرکت‌ها اکنون به دنبال NPBها هستند؟ - «نیاز به دیده شدن» شبکه‌های پیچیده

این را در نظر بگیرید: وقتی شبکه شما صدها دستگاه اینترنت اشیا، صدها سرور ابری و کارمندانی را که از راه دور از سراسر مکان به آن دسترسی دارند، اجرا می‌کند، چگونه می‌توانید مطمئن شوید که هیچ ترافیک مخربی وارد نمی‌شود؟ چگونه می‌توانید تعیین کنید که کدام لینک‌ها شلوغ هستند و عملیات تجاری را کند می‌کنند؟

روش‌های سنتی نظارت مدت‌هاست که ناکافی بوده‌اند: یا ابزارهای نظارتی فقط می‌توانند روی بخش‌های خاصی از ترافیک تمرکز کنند و گره‌های کلیدی را از دست می‌دهند؛ یا تمام ترافیک را به یکباره به ابزار منتقل می‌کنند و باعث می‌شوند که ابزار نتواند اطلاعات را هضم کند و کارایی تحلیل را کاهش دهد. علاوه بر این، با رمزگذاری بیش از ۷۰٪ ترافیک، ابزارهای سنتی کاملاً قادر به دیدن محتوای آن نیستند.

ظهور NPBها به نقطه ضعف «عدم دید شبکه» می‌پردازد. آن‌ها بین نقاط ورودی ترافیک و ابزارهای نظارتی قرار می‌گیرند، ترافیک پراکنده را جمع‌آوری می‌کنند، داده‌های اضافی را فیلتر می‌کنند و در نهایت ترافیک دقیق را به IDS (سیستم‌های تشخیص نفوذ)، SIEMها (پلتفرم‌های مدیریت اطلاعات امنیتی)، ابزارهای تحلیل عملکرد و موارد دیگر توزیع می‌کنند. این امر تضمین می‌کند که ابزارهای نظارتی نه دچار کمبود و نه اشباع بیش از حد شوند. NPBها همچنین می‌توانند ترافیک را رمزگشایی و رمزگذاری کنند، از داده‌های حساس محافظت کنند و نمای کلی روشنی از وضعیت شبکه خود در اختیار شرکت‌ها قرار دهند.

می‌توان گفت که اکنون تا زمانی که یک سازمان نیازهای امنیت شبکه، بهینه‌سازی عملکرد یا انطباق با قوانین را داشته باشد، NPB به یک جزء اصلی اجتناب‌ناپذیر تبدیل شده است.

NPB چیست؟ - تحلیلی ساده از معماری تا قابلیت‌های اصلی

بسیاری از مردم فکر می‌کنند که اصطلاح «کارگزار بسته» مانع فنی بالایی برای ورود به این حوزه دارد. با این حال، یک قیاس قابل فهم‌تر، استفاده از «مرکز مرتب‌سازی تحویل اکسپرس» است: ترافیک شبکه «بسته‌های اکسپرس»، NPB «مرکز مرتب‌سازی» و ابزار نظارت «نقطه دریافت» است. وظیفه NPB جمع‌آوری بسته‌های پراکنده (تجمیع)، حذف بسته‌های نامعتبر (فیلتر کردن) و مرتب‌سازی آنها بر اساس آدرس (توزیع) است. همچنین می‌تواند بسته‌های ویژه را باز و بررسی کند (رمزگشایی) و اطلاعات خصوصی را حذف کند (ماساژ) - کل فرآیند کارآمد و دقیق است.

۱. ابتدا، بیایید به «اسکلت» NPB نگاهی بیندازیم: سه ​​ماژول معماری اصلی

گردش کار NPB کاملاً به همکاری این سه ماژول متکی است؛ هیچ یک از آنها را نمی‌توان از قلم انداخت:

○ماژول دسترسی به ترافیک: معادل «پورت تحویل اکسپرس» است و به طور خاص برای دریافت ترافیک شبکه از پورت آینه سوئیچ (SPAN) یا تقسیم کننده (TAP) استفاده می‌شود. صرف نظر از اینکه ترافیک از یک لینک فیزیکی باشد یا یک شبکه مجازی، می‌توان آن را به صورت یکپارچه جمع‌آوری کرد.

○موتور پردازشاین «مغز اصلی مرکز مرتب‌سازی» است و مسئول حیاتی‌ترین «پردازش» است - مانند ادغام ترافیک چند لینکی (تجمیع)، فیلتر کردن ترافیک از یک نوع IP خاص (فیلتر کردن)، کپی کردن همان ترافیک و ارسال آن به ابزارهای مختلف (کپی کردن)، رمزگشایی ترافیک رمزگذاری شده SSL/TLS (رمزگشایی) و غیره. همه «عملیات دقیق» در اینجا انجام می‌شوند.

○ماژول توزیع: مانند یک "پیک" است که ترافیک پردازش شده را به طور دقیق به ابزارهای نظارتی مربوطه توزیع می‌کند و همچنین می‌تواند تعادل بار را انجام دهد - برای مثال، اگر یک ابزار تحلیل عملکرد خیلی شلوغ باشد، بخشی از ترافیک به ابزار پشتیبان توزیع می‌شود تا از اضافه بار یک ابزار واحد جلوگیری شود.

۲. «قابلیت‌های اصلی» NPB: ۱۲ عملکرد اصلی، ۹۰٪ از مشکلات شبکه را حل می‌کنند

NPB عملکردهای زیادی دارد، اما بیایید روی رایج‌ترین آنها که توسط شرکت‌ها استفاده می‌شوند تمرکز کنیم. هر کدام مربوط به یک نقطه ضعف عملی است:

○تکرار/تجمیع ترافیک + فیلترینگبرای مثال، اگر یک شرکت 10 لینک شبکه داشته باشد، NPB ابتدا ترافیک 10 لینک را ادغام می‌کند، سپس "بسته‌های داده تکراری" و "ترافیک نامربوط" (مانند ترافیک ناشی از تماشای ویدیو توسط کارمندان) را فیلتر می‌کند و فقط ترافیک مربوط به کسب و کار را به ابزار نظارت ارسال می‌کند - که مستقیماً باعث بهبود 300 درصدی کارایی می‌شود.

○رمزگشایی SSL/TLSامروزه بسیاری از حملات مخرب در ترافیک رمزگذاری شده HTTPS پنهان هستند. NPB می‌تواند با خیال راحت این ترافیک را رمزگشایی کند و به ابزارهایی مانند IDS و IPS اجازه دهد تا محتوای رمزگذاری شده را "ببینند" و تهدیدات پنهان مانند لینک‌های فیشینگ و کدهای مخرب را ضبط کنند.

○پوشش داده‌ها / حساسیت‌زدایی: اگر ترافیک حاوی اطلاعات حساسی مانند شماره کارت اعتباری و شماره تأمین اجتماعی باشد، NPB قبل از ارسال این اطلاعات به ابزار نظارتی، به طور خودکار آنها را "پاک" می‌کند. این کار بر تحلیل ابزار تأثیری نخواهد گذاشت، اما همچنین با الزامات PCI-DSS (انطباق پرداخت) و HIPAA (انطباق مراقبت‌های بهداشتی) برای جلوگیری از نشت داده‌ها مطابقت خواهد داشت.

○متعادل‌سازی بار + غلبه بر خرابیاگر یک شرکت سه ابزار SIEM داشته باشد، NPB ترافیک را به طور مساوی بین آنها توزیع می‌کند تا از شلوغ شدن بیش از حد هر ابزار جلوگیری شود. اگر یک ابزار از کار بیفتد، NPB بلافاصله ترافیک را به ابزار پشتیبان تغییر می‌دهد تا نظارت بدون وقفه را تضمین کند. این امر به ویژه برای صنایعی مانند امور مالی و مراقبت‌های بهداشتی که خرابی غیرقابل قبول است، بسیار مهم است.

○پایانه تونلVXLAN، GRE و دیگر «پروتکل‌های تونل» اکنون معمولاً در شبکه‌های ابری استفاده می‌شوند. ابزارهای سنتی نمی‌توانند این پروتکل‌ها را درک کنند. NPB می‌تواند این تونل‌ها را «جدا» کند و ترافیک واقعی داخل آن را استخراج کند و به ابزارهای قدیمی اجازه دهد ترافیک را در محیط‌های ابری پردازش کنند.

ترکیب این ویژگی‌ها NPB را قادر می‌سازد نه تنها ترافیک رمزگذاری‌شده را «ببیند»، بلکه از داده‌های حساس «محافظت» کند و با محیط‌های پیچیده شبکه مختلف «سازگار» شود - به همین دلیل است که می‌تواند به یک جزء اصلی تبدیل شود.

III. NPB در کجا استفاده می‌شود؟ — پنج سناریوی کلیدی که نیازهای واقعی سازمان را برطرف می‌کنند.

NPB ابزاری یکسان برای همه نیست؛ در عوض، به طور انعطاف‌پذیری با سناریوهای مختلف سازگار می‌شود. چه یک مرکز داده، چه یک شبکه 5G یا یک محیط ابری باشد، کاربردهای دقیقی پیدا می‌کند. بیایید برای روشن شدن این نکته به چند مورد معمول نگاهی بیندازیم:

۱. مرکز داده: کلید نظارت بر ترافیک شرق-غرب

مراکز داده سنتی صرفاً بر ترافیک شمال-جنوب (ترافیک از سرورها به دنیای خارج) تمرکز دارند. با این حال، در مراکز داده مجازی، 80٪ ترافیک، شرق-غرب (ترافیک بین ماشین‌های مجازی) است که ابزارهای سنتی به سادگی نمی‌توانند آن را ثبت کنند. اینجاست که NPBها مفید واقع می‌شوند:

برای مثال، یک شرکت بزرگ اینترنتی از VMware برای ساخت یک مرکز داده مجازی استفاده می‌کند. NPB مستقیماً با vSphere (پلتفرم مدیریت VMware) یکپارچه شده است تا ترافیک شرق به غرب بین ماشین‌های مجازی را به طور دقیق ثبت کرده و آن را به IDS و ابزارهای عملکرد توزیع کند. این امر نه تنها "نقاط کور نظارتی" را از بین می‌برد، بلکه از طریق فیلتر کردن ترافیک، کارایی ابزار را تا 40 درصد افزایش می‌دهد و مستقیماً میانگین زمان تعمیر (MTTR) مرکز داده را به نصف کاهش می‌دهد.

علاوه بر این، NPB می‌تواند بار سرور را رصد کند و اطمینان حاصل کند که داده‌های پرداخت با PCI-DSS مطابقت دارند و به یک «الزام ضروری برای عملیات و نگهداری» برای مراکز داده تبدیل می‌شوند.

۲. محیط SDN/NFV: نقش‌های انعطاف‌پذیر سازگار با شبکه‌های نرم‌افزارمحور

بسیاری از شرکت‌ها اکنون از SDN (شبکه‌سازی مبتنی بر نرم‌افزار) یا NFV (مجازی‌سازی عملکرد شبکه) استفاده می‌کنند. شبکه‌ها دیگر سخت‌افزار ثابت نیستند، بلکه سرویس‌های نرم‌افزاری انعطاف‌پذیری هستند. این امر مستلزم انعطاف‌پذیرتر شدن NPBها است:

برای مثال، یک دانشگاه از SDN برای پیاده‌سازی «استفاده از دستگاه شخصی (BYOD)» استفاده می‌کند تا دانشجویان و اساتید بتوانند با استفاده از تلفن‌ها و رایانه‌های خود به شبکه دانشگاه متصل شوند. NPB با یک کنترل‌کننده SDN (مانند OpenDaylight) یکپارچه شده است تا جداسازی ترافیک بین مناطق آموزشی و اداری را تضمین کند و در عین حال ترافیک را از هر منطقه به طور دقیق به ابزارهای نظارتی توزیع کند. این رویکرد بر استفاده دانشجویان و اساتید تأثیری نمی‌گذارد و امکان تشخیص به موقع اتصالات غیرطبیعی، مانند دسترسی از آدرس‌های IP مخرب خارج از دانشگاه را فراهم می‌کند.

همین امر در مورد محیط‌های NFV نیز صادق است. NPB می‌تواند ترافیک فایروال‌های مجازی (vFW) و متعادل‌کننده‌های بار مجازی (vLB) را رصد کند تا عملکرد پایدار این «دستگاه‌های نرم‌افزاری» را تضمین کند، که بسیار انعطاف‌پذیرتر از نظارت سخت‌افزاری سنتی است.

۳. شبکه‌های ۵G: مدیریت ترافیک قطعه‌بندی‌شده و گره‌های لبه

ویژگی‌های اصلی 5G «سرعت بالا، تأخیر کم و اتصالات بزرگ» است، اما این امر چالش‌های جدیدی را نیز برای نظارت به همراه دارد: برای مثال، فناوری «برش شبکه» 5G می‌تواند یک شبکه فیزیکی را به چندین شبکه منطقی تقسیم کند (برای مثال، یک برش با تأخیر کم برای رانندگی خودران و یک برش با اتصال بزرگ برای اینترنت اشیا) و ترافیک در هر برش باید به طور مستقل نظارت شود.

یکی از اپراتورها برای حل این مشکل از NPB استفاده کرد: این اپراتور برای هر برش 5G، نظارت NPB مستقلی را مستقر کرد که نه تنها می‌تواند تأخیر و توان عملیاتی هر برش را به صورت بلادرنگ مشاهده کند، بلکه می‌تواند ترافیک غیرعادی (مانند دسترسی غیرمجاز بین برش‌ها) را نیز به موقع رهگیری کند و الزامات تأخیر کم کسب‌وکارهای کلیدی مانند رانندگی خودران را تضمین کند.

علاوه بر این، گره‌های محاسباتی لبه 5G در سراسر کشور پراکنده شده‌اند و NPB همچنین می‌تواند یک «نسخه سبک» ارائه دهد که در گره‌های لبه مستقر می‌شود تا ترافیک توزیع‌شده را رصد کند و از تأخیرهای ناشی از انتقال داده‌ها به جلو و عقب جلوگیری کند.

۴. محیط ابری/فناوری اطلاعات ترکیبی: رفع موانع نظارت بر ابر عمومی و خصوصی

اکثر شرکت‌ها اکنون از معماری ابر ترکیبی استفاده می‌کنند - برخی از عملیات‌ها در Alibaba Cloud یا Tencent Cloud (ابرهای عمومی)، برخی در ابرهای خصوصی خود و برخی دیگر در سرورهای محلی قرار دارند. در این سناریو، ترافیک در محیط‌های مختلف پراکنده می‌شود و نظارت را به راحتی مختل می‌کند.

بانک مینشنگ چین از NPB برای حل این مشکل استفاده می‌کند: کسب‌وکار این بانک از Kubernetes برای استقرار کانتینری استفاده می‌کند. NPB می‌تواند مستقیماً ترافیک بین کانتینرها (Pods) را ثبت کند و ترافیک بین سرورهای ابری و ابرهای خصوصی را برای ایجاد "نظارت سرتاسری" مرتبط سازد - صرف نظر از اینکه کسب‌وکار در ابر عمومی یا ابر خصوصی باشد، تا زمانی که مشکل عملکردی وجود داشته باشد، تیم عملیات و نگهداری می‌تواند از داده‌های ترافیک NPB برای تشخیص سریع اینکه آیا مشکل از تماس‌های بین کانتینری یا تراکم لینک ابری است، استفاده کند و کارایی تشخیصی را تا 60 درصد بهبود بخشد.

برای ابرهای عمومی چند مستاجری، NPB همچنین می‌تواند جداسازی ترافیک بین شرکت‌های مختلف را تضمین کند، از نشت داده‌ها جلوگیری کند و الزامات انطباق صنعت مالی را برآورده سازد.

در نتیجه: NPB یک «گزینه» نیست، بلکه یک «ضرورت» است.

پس از بررسی این سناریوها، متوجه خواهید شد که NPB دیگر یک فناوری خاص نیست، بلکه ابزاری استاندارد برای شرکت‌ها جهت مقابله با شبکه‌های پیچیده است. از مراکز داده گرفته تا 5G، از ابرهای خصوصی گرفته تا فناوری اطلاعات ترکیبی، NPB می‌تواند در هر جایی که نیاز به قابلیت مشاهده شبکه باشد، نقشی ایفا کند.

با افزایش رواج هوش مصنوعی و محاسبات لبه، ترافیک شبکه پیچیده‌تر خواهد شد و قابلیت‌های NPB بیشتر ارتقا خواهد یافت (برای مثال، استفاده از هوش مصنوعی برای شناسایی خودکار ترافیک غیرعادی و فراهم کردن امکان سازگاری سبک‌تر با گره‌های لبه). برای شرکت‌ها، درک و استقرار زودهنگام NPBها به آنها کمک می‌کند تا ابتکار عمل شبکه را به دست بگیرند و از انحراف در تحول دیجیتال خود جلوگیری کنند.

آیا تا به حال با چالش‌های نظارت بر شبکه در صنعت خود مواجه شده‌اید؟ به عنوان مثال، نمی‌توانید ترافیک رمزگذاری شده را ببینید، یا نظارت بر ابر ترکیبی قطع می‌شود؟ در صورت تمایل می‌توانید نظرات خود را در بخش نظرات به اشتراک بگذارید و بیایید با هم راه‌حل‌ها را بررسی کنیم.