Өнөөгийн нарийн төвөгтэй, өндөр хурдтай, ихэвчлэн шифрлэгдсэн сүлжээний орчинд аюулгүй байдал, гүйцэтгэлийн хяналт, нийцлийн хувьд цогц харагдах байдлыг хангах нь хамгийн чухал юм.Сүлжээний пакет брокерууд (NPBs)энгийн TAP агрегаторуудаас эхлээд замын хөдөлгөөний өгөгдлийн урсгалыг удирдах, хяналт, аюулгүй байдлын хэрэгслүүдийг үр дүнтэй ажиллуулахад зайлшгүй шаардлагатай нарийн төвөгтэй, ухаалаг платформууд болж хөгжсөн. Тэдний гол хэрэглээний хувилбарууд болон шийдлүүдийг энд дэлгэрэнгүй авч үзнэ үү:
NPB-ийн гол асуудлыг шийдвэрлэх нь:
Орчин үеийн сүлжээнүүд асар их хэмжээний урсгал үүсгэдэг. Аюулгүй байдал болон хяналтын чухал хэрэгслүүдийг (IDS/IPS, NPM/APM, DLP, шүүхийн шинжилгээ) сүлжээний холболтуудтай шууд холбох нь (SPAN портууд эсвэл TAP-аар дамжуулан) дараах шалтгааны улмаас үр ашиггүй бөгөөд ихэвчлэн боломжгүй байдаг.
1. Хэрэгслийн хэт ачаалал: Хэрэгслүүд хамааралгүй урсгалаар дүүрч, пакетуудыг хаяж, аюул заналхийллийг алга болгодог.
2. Багаж хэрэгслийн үр ашиггүй байдал: Багаж хэрэгсэл нь давхардсан эсвэл шаардлагагүй өгөгдлийг боловсруулахад нөөцийг үрдэг.
3. Цогц топологи: Тархсан сүлжээнүүд (Өгөгдлийн төвүүд, Үүлэн технологи, Салбар оффисууд) нь төвлөрсөн хяналтыг хүндрүүлдэг.
4. Шифрлэлтийн сохор цэгүүд: Хэрэгслүүд нь шифрлэгдсэн урсгалыг (SSL/TLS) тайлалгүйгээр шалгаж чадахгүй.
5. Хязгаарлагдмал SPAN нөөц: SPAN портууд нь коммутаторын нөөцийг ашигладаг бөгөөд шугамын хурдны бүрэн урсгалыг зохицуулж чаддаггүй.
NPB шийдэл: Ухаалаг замын хөдөлгөөний зуучлал
NPB нь сүлжээний TAP/SPAN портууд болон хяналт/аюулгүй байдлын хэрэгслүүдийн хооронд байрладаг. Тэд ухаалаг "замын цагдаа" болж, дараах зүйлсийг хийдэг.
1. Нэгтгэх: Олон холбоосоос (физик, виртуал) ирсэн урсгалыг нэгтгэсэн тэжээлд нэгтгэх.
2. Шүүлтүүр: Зөвхөн холбогдох урсгалыг шалгуур (IP/MAC, VLAN, протокол, порт, програм) дээр үндэслэн тодорхой хэрэгслүүд рүү сонгон дамжуулна.
3. Ачааллын тэнцвэржүүлэлт: Өргөтгөх боломжтой байдал болон уян хатан байдлын үүднээс урсгалын урсгалыг ижил хэрэгслийн олон тохиолдлуудад (жишээ нь, кластер IDS мэдрэгч) жигд хуваарилах.
4. Давхардлыг арилгах: Давхардсан холбоосууд дээр баригдсан пакетуудын ижил хуулбарыг арилгах.
5. Пакет зүсэх: Толгой хэсгүүдийг хадгалахын зэрэгцээ пакетуудыг таслах (ачааллыг хасах), зөвхөн мета өгөгдөл шаарддаг хэрэгслүүдийн зурвасын өргөнийг багасгах.
6. SSL/TLS тайлах: Шифрлэгдсэн сессийг (түлхүүрүүдийг ашиглан) дуусгаж, шалгалтын хэрэгслүүдэд тодорхой текст урсгалыг үзүүлж, дараа нь дахин шифрлэнэ.
7. Хуулбарлах/Олон кастинг хийх: Нэг ижил урсгалын урсгалыг нэгэн зэрэг олон хэрэгсэл рүү илгээх.
8. Дэвшилтэт боловсруулалт: Мета өгөгдлийг гаргаж авах, урсгал үүсгэх, цаг тэмдэглэх, мэдрэмтгий өгөгдлийг далдлах (жишээ нь, PII).
Энэ загварын талаар дэлгэрэнгүй мэдээлэл авахыг хүсвэл энд дарна уу:
Mylinking™ Сүлжээний Пакет Брокер (NPB) ML-NPB-3440L
16*10/100/1000M RJ45, 16*1/10GE SFP+, 1*40G QSFP болон 1*40G/100G QSFP28, хамгийн ихдээ 320Gbps
Хэрэглээний дэлгэрэнгүй хувилбарууд ба шийдлүүд:
1. Аюулгүй байдлын хяналтыг сайжруулах (IDS/IPS, NGFW, Threat Intel):
○ Нөхцөл байдал: Аюулгүй байдлын хэрэгслүүд нь өгөгдлийн төвд Зүүн-Баруун чиглэлийн их хэмжээний урсгалаас болж хэт ачаалалтай байдаг бөгөөд пакетуудыг хаяж, хажуугийн хөдөлгөөний аюулыг анзаардаггүй. Шифрлэгдсэн урсгал нь хортой ачааллыг нуудаг.
○ NPB шийдэл:DC доторх чухал холбоосуудаас цуглуулсан урсгал.
* Зөвхөн сэжигтэй траффикийн сегментүүдийг (жишээ нь, стандарт бус портууд, тодорхой дэд сүлжээнүүд) IDS руу илгээхийн тулд мөхлөгт шүүлтүүр ашиглана уу.
* IDS мэдрэгчийн кластер дээрх ачааллын тэнцвэр.
* SSL/TLS кодыг тайлж, IDS/Threat Intel платформ руу гүнзгий шалгалт хийх зорилгоор тодорхой текст урсгал илгээнэ.
* Давхардсан замуудаас давхардсан урсгалыг арилгах.Үр дүн:Аюул заналхийллийг илрүүлэх түвшин өндөр, хуурамч сөрөг үр дүн буурсан, IDS нөөцийн ашиглалтыг оновчтой болгосон.
2. Гүйцэтгэлийн хяналтыг оновчтой болгох (NPM/APM):
○ Нөхцөл байдал: Сүлжээний гүйцэтгэлийн хяналтын хэрэгслүүд нь хэдэн зуун тархсан холбоосуудаас (WAN, салбар оффисууд, үүлэн сүлжээ) өгөгдлийг хооронд нь холбоход бэрхшээлтэй байдаг. APM-д зориулсан бүрэн пакет барих нь хэтэрхий үнэтэй бөгөөд зурвасын өргөнийг их шаарддаг.
○ NPB шийдэл:
* Газарзүйн хувьд тархсан TAP/SPAN-уудаас төвлөрсөн NPB бүтэц рүү урсгалыг нэгтгэх.
* Зөвхөн програмын онцлог урсгалыг (жишээ нь, VoIP, чухал SaaS) APM хэрэгслүүд рүү илгээхийн тулд урсгалыг шүүнэ.
* Голчлон урсгал/гүйлгээний цагийн өгөгдөл (толгой) шаарддаг NPM хэрэгслүүдэд пакет зүсэлтийг ашиглан зурвасын өргөний хэрэглээг эрс багасгана.
* Гол гүйцэтгэлийн үзүүлэлтүүдийн урсгалыг NPM болон APM хэрэгслүүдэд хуулбарлах.Үр дүн:Холистик, харилцан хамааралтай гүйцэтгэлийн харагдац, багаж хэрэгслийн зардлыг бууруулсан, зурвасын өргөний нэмэлт ачааллыг хамгийн бага болгосон.
3. Үүлэн харагдац (Олон нийтийн/Хувийн/Хоригдол):
○ Нөхцөл байдал: Олон нийтийн үүлэн технологид (AWS, Azure, GCP) уугуул TAP хандалт байхгүй байна. Виртуал машин/контейнерын урсгалыг аюулгүй байдал болон хяналтын хэрэгслүүд рүү чиглүүлэх, бүртгэхэд бэрхшээлтэй байна.
○ NPB шийдэл:
* Үүлэн орчинд виртуал NPB (vNPB) байршуулна.
* vNPB-үүд виртуал шилжүүлэгч урсгалыг (жишээ нь, ERSPAN, VPC Traffic Mirroring-ээр дамжуулан) ажиллуулдаг.
* Зүүн-Баруун болон Хойд-Өмнөд үүлэн урсгалыг шүүх, нэгтгэх, ачааллын тэнцвэржүүлэх.
* Холбогдох урсгалыг байршил дээрх физик NPB эсвэл үүлэн технологид суурилсан хяналтын хэрэгслүүд рүү найдвартайгаар буцааж чиглүүлэх.
* Үүлэн технологид суурилсан харагдах байдлын үйлчилгээтэй нэгтгэх.Үр дүн:Үүлэн харагдах байдлын хязгаарлалтыг даван туулж, эрлийз орчинд аюулгүй байдлын байрлал болон гүйцэтгэлийг тогтмол хянаж байдаг.
4. Өгөгдөл алдагдахаас урьдчилан сэргийлэх (DLP) ба хууль тогтоомжийн хэрэгжилт:
○ Хувилбар: DLP хэрэгслүүд нь гадагш чиглэсэн урсгалыг мэдрэмтгий өгөгдөл (PII, PCI) байгаа эсэхийг шалгах шаардлагатай боловч хамааралгүй дотоод урсгалаар дүүрсэн байна. Дагаж мөрдөх нь тодорхой зохицуулалттай өгөгдлийн урсгалыг хянахыг шаарддаг.
○ NPB шийдэл:
* Зөвхөн гадагш чиглэсэн урсгалыг (жишээ нь, интернет эсвэл тодорхой түншүүдэд чиглэсэн) DLP хөдөлгүүр рүү илгээхийн тулд урсгалыг шүүнэ.
* Зохицуулалттай өгөгдлийн төрлүүдийг агуулсан урсгалыг тодорхойлж, DLP хэрэгсэлд эрэмбэлэхийн тулд NPB дээр гүнзгий пакет шалгалт (DPI) хийнэ.
* Пакет доторх мэдрэмтгий өгөгдлийг (жишээ нь, зээлийн картын дугаар) нуухөмнөнийцлийн бүртгэлийг хийх бага чухал хяналтын хэрэгслүүд рүү илгээх.Үр дүн:Илүү үр ашигтай DLP ажиллагаа, хуурамч эерэг үр дүнг бууруулсан, нийцлийн аудитыг хялбаршуулсан, өгөгдлийн нууцлалыг сайжруулсан.
5. Сүлжээний шүүхийн шинжилгээ ба алдааг олж засварлах:
○ Нөхцөл байдал: Гүйцэтгэлийн нарийн төвөгтэй асуудал эсвэл зөрчлийг оношлохын тулд цаг хугацааны явцад олон цэгээс пакетуудыг бүрэн барьж авах (PCAP) шаардлагатай. Гараар барьж авах ажиллагааг эхлүүлэх нь удаан байдаг; бүх зүйлийг хадгалах нь боломжгүй юм.
○ NPB шийдэл:
* NPB нь урсгалыг тасралтгүй (шугамын хурдаар) буферлаж чаддаг.
* Холбогдсон пакет барих төхөөрөмж рүү холбогдох урсгалыг автоматаар барьж авахын тулд NPB дээрх триггерүүдийг (жишээ нь, тодорхой алдааны нөхцөл байдал, урсгалын огцом өсөлт, аюулын сэрэмжлүүлэг) тохируулна уу.
* Зөвхөн шаардлагатай зүйлсийг хадгалахын тулд барих төхөөрөмж рүү илгээсэн урсгалыг урьдчилан шүүнэ үү.
* Үйлдвэрлэлийн хэрэгсэлд нөлөөлөхгүйгээр чухал урсгалын урсгалыг барих төхөөрөмж рүү хуулбарлах.Үр дүн:Цахилгаан тасалдал/зөрчлийг шийдвэрлэх дундаж хугацаа (MTTR)-ийг хурдан болгож, зорилтот шүүхийн шинжилгээний баривчилгаа хийж, хадгалах зардлыг бууруулсан.
Хэрэгжилтийн анхаарах зүйлс ба шийдлүүд:
○Өргөтгөх чадвар: Одоогийн болон ирээдүйн урсгалыг зохицуулах хангалттай портын нягтрал болон нэвтрүүлэх чадвар (1/10/25/40/100GbE+) бүхий NPB-үүдийг сонгоорой. Модульчлагдсан явах эд анги нь ихэвчлэн хамгийн сайн өргөтгөх чадварыг хангадаг. Виртуал NPB-үүд үүлэн дотор уян хатан өргөтгөлтэй байдаг.
○Уян хатан байдал: Илүүдэл NPB (HA хос) болон багаж хэрэгсэл рүү чиглэсэн илүүдэл замыг хэрэгжүүлнэ. HA тохиргоонд төлөвийн синхрончлолыг баталгаажуулна. Багаж хэрэгслийн уян хатан байдлыг хангахын тулд NPB ачааллын тэнцвэрийг ашиглана.
○Удирдлага ба Автоматжуулалт: Төвлөрсөн удирдлагын консолууд маш чухал юм. Анхааруулгад суурилсан динамик бодлогын өөрчлөлтийн хувьд найрал хөгжмийн платформууд (Ansible, Puppet, Chef) болон SIEM/SOAR системүүдтэй нэгтгэх API (RESTful, NETCONF/YANG)-г хайж олоорой.
○Аюулгүй байдал: NPB удирдлагын интерфэйсийг аюулгүй байлга. Хандалтыг чанд хяна. Хэрэв урсгалыг тайлж байгаа бол түлхүүр удирдлагын хатуу бодлого, түлхүүр дамжуулах сувгуудыг аюулгүй байлгаарай. Мэдрэмтгий өгөгдлийг далдлах талаар бодож үзээрэй.
○Хэрэгслийн интеграци: NPB нь шаардлагатай хэрэгслийн холболтыг (физик/виртуал интерфэйс, протокол) дэмжиж байгаа эсэхийг шалгана уу. Тодорхой хэрэгслийн шаардлагад нийцэж байгаа эсэхийг шалгана уу.
Тэгэхээр,Сүлжээний пакет брокеруудодоо нэмэлт тансаг хэрэглээ биш болсон; эдгээр нь орчин үеийн эрин үед сүлжээний харагдах байдлыг хангах үндсэн дэд бүтцийн бүрэлдэхүүн хэсэг юм. Ухаалаг нэгтгэх, шүүх, ачааллыг тэнцвэржүүлэх, урсгалыг боловсруулах замаар NPB нь аюулгүй байдал, хяналтын хэрэгслүүдийг хамгийн өндөр үр ашигтай, үр дүнтэй ажиллах боломжийг олгодог. Эдгээр нь харагдах байдлын хязгаарыг задалж, цар хүрээ болон шифрлэлтийн бэрхшээлийг даван туулж, эцэст нь сүлжээг аюулгүй болгох, оновчтой гүйцэтгэлийг хангах, нийцлийн шаардлагыг хангах, асуудлыг хурдан шийдвэрлэхэд шаардлагатай тодорхой байдлыг хангадаг. Бат бөх NPB стратегийг хэрэгжүүлэх нь илүү ажиглагдахуйц, аюулгүй, уян хатан сүлжээг бий болгох чухал алхам юм.
Нийтэлсэн цаг: 2025 оны 7-р сарын 7
