Дижитал шилжилтийн нөлөөгөөр аж ахуйн нэгжийн сүлжээ нь зүгээр л "компьютерийг холбосон хэдэн кабель" байхаа больсон. IoT төхөөрөмжүүдийн тархалт, үйлчилгээнүүд үүлэн технологи руу шилжих, алсын зайнаас ажиллах нь улам бүр түгээмэл болж байгаатай холбогдуулан сүлжээний урсгал хурдны зам дээрх хөдөлгөөн шиг огцом өссөн. Гэсэн хэдий ч энэхүү хөдөлгөөний огцом өсөлт нь бэрхшээлийг бас бий болгож байна: аюулгүй байдлын хэрэгслүүд чухал өгөгдлийг цуглуулж чадахгүй, хяналтын системүүд илүүдэл мэдээллээр дарагдаж, шифрлэгдсэн хөдөлгөөнд нуугдсан аюул заналхийлэл илрэхгүй болдог. Энэ бол Сүлжээний Пакет Брокер (NPB) гэж нэрлэгддэг "үл үзэгдэх үйлчлэгч" хэрэгтэй газар юм. Сүлжээний хөдөлгөөн болон хяналтын хэрэгслүүдийн хооронд ухаалаг гүүр болж, энэ нь сүлжээний бүх хэсэгт замын хөдөлгөөний эмх замбараагүй урсгалыг зохицуулж, хяналтын хэрэгслүүдэд шаардлагатай өгөгдлийг үнэн зөв өгч, аж ахуйн нэгжүүдэд "үл үзэгдэх, хүрч очих боломжгүй" сүлжээний бэрхшээлийг шийдвэрлэхэд тусалдаг. Өнөөдөр бид сүлжээний үйл ажиллагаа, засвар үйлчилгээ дэх энэхүү гол үүргийн талаар цогц ойлголт өгөх болно.
1. Компаниуд яагаад одоо NPB хайж байгаа вэ? — Нарийн төвөгтэй сүлжээнүүдийн "харагдах байдлын хэрэгцээ"
Үүнийг анхаарч үзээрэй: Таны сүлжээнд хэдэн зуун IoT төхөөрөмж, хэдэн зуун үүлэн сервер ажиллаж байгаа бөгөөд ажилчид хаа сайгүй алсаас хандаж байгаа үед хортой урсгал сэмхэн орж ирэхгүй байхыг хэрхэн баталгаажуулах вэ? Аль холбоосууд ачаалалтай, бизнесийн үйл ажиллагааг удаашруулж байгааг хэрхэн тодорхойлох вэ?
Уламжлалт хяналтын аргууд удаан хугацаанд хангалтгүй байсан: хяналтын хэрэгслүүд нь зөвхөн тодорхой урсгалын сегментүүдэд анхаарлаа төвлөрүүлж, гол зангилаанууд дутуу байдаг; эсвэл бүх урсгалыг хэрэгсэлд нэг дор дамжуулдаг тул мэдээллийг шингээж чадахгүй болж, шинжилгээний үр ашгийг удаашруулдаг. Цаашилбал, урсгалын 70 гаруй хувь нь шифрлэгдсэн тул уламжлалт хэрэгслүүд нь түүний агуулгыг бүрэн харах боломжгүй болсон.
NPB-үүдийн гарч ирснээр "сүлжээний харагдах байдал дутмаг" гэсэн өвдөлтийн цэгийг арилгаж байна. Эдгээр нь урсгалын оролтын цэгүүд болон хяналтын хэрэгслүүдийн хооронд байрладаг бөгөөд тархсан урсгалыг нэгтгэж, илүүдэл өгөгдлийг шүүж, эцэст нь IDS (Халдлага илрүүлэх систем), SIEM (Аюулгүй байдлын мэдээллийн удирдлагын платформ), гүйцэтгэлийн шинжилгээний хэрэгслүүд болон бусад зүйлсэд нарийн урсгалыг хуваарилдаг. Энэ нь хяналтын хэрэгслүүд дутагдалтай эсвэл хэт ханаагүй байхыг баталгаажуулдаг. NPB-үүд нь мөн урсгалыг тайлж, шифрлэж, мэдрэмтгий өгөгдлийг хамгаалж, аж ахуйн нэгжүүдэд сүлжээнийхээ төлөв байдлын талаар тодорхой тойм өгөх боломжтой.
Байгууллага сүлжээний аюулгүй байдал, гүйцэтгэлийн оновчлол эсвэл нийцлийн хэрэгцээтэй байгаа цагт NPB нь зайлшгүй гол бүрэлдэхүүн хэсэг болсон гэж хэлж болно.
NPB гэж юу вэ? — Архитектураас үндсэн чадавхи хүртэлх энгийн дүн шинжилгээ
Олон хүн "пакет брокер" гэсэн нэр томьёо нь нэвтрэхэд өндөр техникийн саад бэрхшээл учруулдаг гэж боддог. Гэсэн хэдий ч илүү хүртээмжтэй аналоги бол "хурдан хүргэлтийн ангилах төв" ашиглах явдал юм: сүлжээний урсгал нь "хурдан илгээмж", NPB нь "ангилах төв", хяналтын хэрэгсэл нь "хүлээн авах цэг" юм. NPB-ийн ажил бол тархай бутархай илгээмжийг нэгтгэх (нэгтгэх), хүчингүй илгээмжийг устгах (шүүлтүүр хийх), хаягаар нь ангилах (түгээлт) юм. Энэ нь мөн тусгай илгээмжийг задалж шалгах (код тайлах), хувийн мэдээллийг устгах (массаж хийх) боломжтой бөгөөд бүх үйл явц нь үр ашигтай бөгөөд нарийвчлалтай байдаг.
1. Эхлээд NPB-ийн "араг яс"-ыг авч үзье: гурван үндсэн архитектурын модуль
NPB ажлын урсгал нь эдгээр гурван модулийн хамтын ажиллагаанаас бүрэн хамаардаг; тэдгээрийн аль нь ч алгасаж болохгүй:
○Замын хөдөлгөөний хандалтын модульЭнэ нь "хурдан хүргэлтийн порт"-той дүйцэхүйц бөгөөд свич толин тусгал порт (SPAN) эсвэл хуваагч (TAP)-аас сүлжээний урсгалыг хүлээн авахад тусгайлан ашиглагддаг. Физик холбоос эсвэл виртуал сүлжээнээс ирсэн урсгалаас үл хамааран үүнийг нэгдсэн байдлаар цуглуулж болно.
○Боловсруулах хөдөлгүүрЭнэ бол "эрэмбэлэх төвийн гол тархи" бөгөөд хамгийн чухал "боловсруулалт"-ыг хариуцдаг - тухайлбал олон холбоостой урсгалыг нэгтгэх (агрегатлах), тодорхой төрлийн IP хаягаас урсгалыг шүүх (шүүлтүүр хийх), ижил урсгалыг хуулж өөр хэрэгслүүд рүү илгээх (хуулбарлах), SSL/TLS шифрлэгдсэн урсгалыг тайлах (код тайлах) гэх мэт. Бүх "нарийн үйлдлүүд" энд дуусдаг.
○Түгээлтийн модульЭнэ нь боловсруулсан урсгалыг харгалзах хяналтын хэрэгслүүдэд үнэн зөв хуваарилдаг, мөн ачааллын тэнцвэржүүлэлтийг хийж чаддаг "шуудан зөөгч"-тэй адил юм - жишээлбэл, гүйцэтгэлийн шинжилгээний хэрэгсэл хэт завгүй байвал нэг хэрэгслийг хэт ачаалахаас зайлсхийхийн тулд урсгалын нэг хэсгийг нөөцлөх хэрэгсэлд хуваарилна.
2. NPB-ийн "Хатуу цөмт чадавхи": 12 үндсэн функц нь сүлжээний асуудлын 90%-ийг шийддэг
NPB нь олон функцтэй боловч аж ахуйн нэгжүүдийн хамгийн түгээмэл ашигладаг функцүүдэд анхаарлаа хандуулъя. Эдгээр функц бүр нь практикт тулгардаг бэрхшээлтэй холбоотой:
○Замын хөдөлгөөний хуулбарлалт / нэгтгэлт + шүүлтүүрЖишээлбэл, хэрэв аж ахуйн нэгж 10 сүлжээний холбоостой бол NPB нь эхлээд 10 холбоосын урсгалыг нэгтгэж, дараа нь "давхардсан өгөгдлийн багц" болон "хамааралгүй урсгал" (жишээлбэл, видео үзэж буй ажилчдаас ирсэн урсгал)-ыг шүүж, зөвхөн бизнестэй холбоотой урсгалыг хяналтын хэрэгсэл рүү илгээдэг бөгөөд энэ нь үр ашгийг 300%-иар шууд сайжруулдаг.
○SSL/TLS код тайлахӨнөө үед олон хортой халдлага HTTPS-ээр шифрлэгдсэн урсгалд нуугдаж байна. NPB нь энэхүү урсгалыг аюулгүйгээр тайлж чаддаг бөгөөд IDS болон IPS зэрэг хэрэгслүүдэд шифрлэгдсэн контентыг "харж", фишинг холбоос болон хортой код зэрэг далд аюулыг илрүүлэх боломжийг олгодог.
○Өгөгдлийг масклах / Мэдрэгжүүлэлтийг бууруулахХэрэв урсгал нь кредит картын дугаар болон нийгмийн даатгалын дугаар зэрэг нууц мэдээлэл агуулсан бол NPB нь хяналтын хэрэгсэл рүү илгээхээсээ өмнө энэ мэдээллийг автоматаар "устгах" болно. Энэ нь хэрэгслийн шинжилгээнд нөлөөлөхгүй боловч өгөгдөл алдагдахаас урьдчилан сэргийлэхийн тулд PCI-DSS (төлбөрийн нийцэл) болон HIPAA (эрүүл мэндийн нийцэл)-ийн шаардлагыг дагаж мөрдөх болно.
○Ачааллын тэнцвэржүүлэлт + Осол гарсан үед ачааллыг сааруулахХэрэв аж ахуйн нэгж гурван SIEM хэрэгсэлтэй бол NPB нь аль нэг хэрэгслийг хэт ачааллаас сэргийлэхийн тулд урсгалыг тэдгээрийн хооронд жигд хуваарилна. Хэрэв нэг хэрэгсэл ажиллахаа больвол NPB нь тасралтгүй хяналтыг хангахын тулд урсгалыг нэн даруй нөөц хэрэгсэл рүү шилжүүлнэ. Энэ нь санхүү, эрүүл мэндийн үйлчилгээ зэрэг зогсолт хүлээн зөвшөөрөгдөхгүй салбаруудад онцгой чухал юм.
○Хонгилын төгсгөлVXLAN, GRE болон бусад "Хоолойн протоколууд"-ыг одоо үүлэн сүлжээнд түгээмэл ашиглаж байна. Уламжлалт хэрэгслүүд эдгээр протоколуудыг ойлгож чадахгүй. NPB нь эдгээр хонгилуудыг "задалж", доторх бодит урсгалыг гаргаж авах боломжтой бөгөөд ингэснээр хуучин хэрэгслүүд үүлэн орчинд урсгалыг боловсруулах боломжтой болно.
Эдгээр функцуудын хослол нь NPB-д шифрлэгдсэн урсгалыг "харах" төдийгүй мэдрэмтгий өгөгдлийг "хамгаалах", янз бүрийн нарийн төвөгтэй сүлжээний орчинд "дасан зохицох" боломжийг олгодог - ийм учраас энэ нь гол бүрэлдэхүүн хэсэг болж чаддаг.
III. NPB-г хаана ашигладаг вэ? — Бодит аж ахуйн нэгжийн хэрэгцээг хангах таван гол хувилбар
NPB нь бүх хүнд тохирох нэг хэрэгсэл биш; харин өөр өөр нөхцөл байдалд уян хатан дасан зохицдог. Энэ нь өгөгдлийн төв, 5G сүлжээ эсвэл үүлэн орчин байсан ч нарийн хэрэглээг олдог. Үүнийг харуулахын тулд хэдэн ердийн тохиолдлыг авч үзье.
1. Өгөгдлийн төв: Зүүн-Баруун замын хөдөлгөөнийг хянах түлхүүр
Уламжлалт өгөгдлийн төвүүд нь зөвхөн хойд-өмнөд урсгалд (серверүүдээс гадаад ертөнц рүү чиглэсэн урсгал) анхаарлаа төвлөрүүлдэг. Гэсэн хэдий ч виртуалчлагдсан өгөгдлийн төвүүдэд урсгалын 80% нь зүүн-баруун (виртуал машинуудын хоорондох урсгал) байдаг бөгөөд уламжлалт хэрэгслүүд үүнийг барьж чаддаггүй. NPB-үүд энд хэрэг болдог:
Жишээлбэл, томоохон интернет компани виртуалчлагдсан өгөгдлийн төв барихад VMware ашигладаг. NPB нь виртуал машинуудын хоорондох зүүн-баруун урсгалыг нарийн барьж, IDS болон гүйцэтгэлийн хэрэгслүүдэд түгээхийн тулд vSphere (VMware-ийн удирдлагын платформ)-той шууд нэгтгэгдсэн байдаг. Энэ нь зөвхөн "хяналтын сохор цэгүүд"-ийг арилгахаас гадна урсгалын шүүлтүүрээр дамжуулан хэрэгслийн үр ашгийг 40%-иар нэмэгдүүлж, өгөгдлийн төвийн засварлах дундаж хугацааг (MTTR) хоёр дахин бууруулдаг.
Үүнээс гадна, NPB нь серверийн ачааллыг хянаж, төлбөрийн өгөгдөл нь PCI-DSS-тэй нийцэж байгаа эсэхийг баталгаажуулж, өгөгдлийн төвүүдийн "зайлшгүй үйл ажиллагаа, засвар үйлчилгээний шаардлага" болж байна.
2. SDN/NFV орчин: Програм хангамжаар тодорхойлогдсон сүлжээнд дасан зохицох уян хатан үүрэг
Олон компани одоо SDN (Програм хангамжаар тодорхойлогдсон сүлжээ) эсвэл NFV (Сүлжээний функцийн виртуалчлал) ашиглаж байна. Сүлжээ нь тогтмол техник хангамж биш, харин уян хатан програм хангамжийн үйлчилгээ болсон. Энэ нь NPB-үүдийг илүү уян хатан болгохыг шаарддаг:
Жишээлбэл, их сургууль нь SDN ашиглан "Өөрийн төхөөрөмжөө авчрах (BYOD)"-г хэрэгжүүлдэг бөгөөд ингэснээр оюутнууд болон багш нар утас, компьютерээ ашиглан кампусын сүлжээнд холбогдох боломжтой болдог. NPB нь SDN хянагчтай (жишээ нь, OpenDaylight) нэгтгэгдсэн бөгөөд сургалтын болон оффисын хоорондох замын хөдөлгөөний тусгаарлалтыг хангахын зэрэгцээ хэсэг бүрээс ирсэн замын хөдөлгөөнийг хяналтын хэрэгслүүдэд нарийвчлалтай хуваарилдаг. Энэ арга нь оюутан, багш нарын хэрэглээнд нөлөөлөхгүй бөгөөд кампусын гаднах хортой IP хаягуудаас нэвтрэх гэх мэт хэвийн бус холболтыг цаг тухайд нь илрүүлэх боломжийг олгодог.
NFV орчны хувьд ч мөн адил. NPB нь виртуал галт хана (vFW) болон виртуал ачааллын тэнцвэржүүлэгч (vLB)-ийн урсгалыг хянаж, эдгээр "програм хангамжийн төхөөрөмжүүд"-ийн тогтвортой ажиллагааг хангах боломжтой бөгөөд энэ нь уламжлалт техник хангамжийн хяналтаас хамаагүй илүү уян хатан юм.
3. 5G сүлжээ: Зүссэн урсгал болон захын зангилааг удирдах
5G-ийн гол онцлогууд нь "өндөр хурдтай, бага хоцрогдолтой, том холболттой" боловч энэ нь хяналтад шинэ сорилтуудыг авчирдаг: жишээлбэл, 5G-ийн "сүлжээний зүсэлт" технологи нь ижил физик сүлжээг олон логик сүлжээнд хувааж чаддаг (жишээлбэл, бие даасан жолоодлогын бага хоцрогдолтой зүсэлт болон IoT-д зориулсан том холболттой зүсэлт) бөгөөд зүсмэл бүрийн урсгалыг бие даан хянах ёстой.
Нэгэн оператор энэ асуудлыг шийдэхийн тулд NPB ашигласан: энэ нь 5G зүсмэл бүрт бие даасан NPB хяналтыг байрлуулсан бөгөөд энэ нь зүсмэл бүрийн хоцрогдол болон нэвтрүүлэх чадварыг бодит цаг хугацаанд нь харахаас гадна хэвийн бус урсгалыг (жишээлбэл, зүсмэлүүдийн хоорондох зөвшөөрөлгүй хандалт) цаг тухайд нь таслан зогсоож, автомат жолоодлого гэх мэт гол бизнесийн бага хоцрогдлын шаардлагыг хангаж чаддаг.
Үүнээс гадна, 5G захын тооцооллын зангилаа улс даяар тархсан байдаг бөгөөд NPB нь тархсан урсгалыг хянах, өгөгдөл дамжуулахаас үүдэлтэй саатлаас зайлсхийхийн тулд захын зангилаануудад байрлуулсан "хөнгөн хувилбар"-ыг хангаж чадна.
4. Үүлэн орчин/Эрлийз мэдээллийн технологи: Олон нийтийн болон хувийн үүлэн хяналтын саад бэрхшээлийг арилгах нь
Ихэнх аж ахуйн нэгжүүд одоо эрлийз үүлэн архитектурыг ашиглаж байна - зарим үйл ажиллагаа нь Alibaba Cloud эсвэл Tencent Cloud (нийтийн үүлэн технологи) дээр, зарим нь өөрсдийн хувийн үүлэн технологи дээр, зарим нь орон нутгийн серверүүд дээр байрладаг. Энэ тохиолдолд урсгал олон орчинд тархсан тул хяналтыг амархан тасалдуулдаг.
Хятадын Миншенг банк энэхүү бэрхшээлтэй асуудлыг шийдвэрлэхийн тулд NPB ашигладаг: түүний бизнес нь контейнер байршуулалтад Kubernetes ашигладаг. NPB нь контейнер (Pod) хоорондын урсгалыг шууд барьж, үүлэн серверүүд болон хувийн үүлний хоорондох урсгалыг хооронд нь уялдуулж "төгсгөлөөс төгсгөл хүртэлх хяналт"-ыг бий болгож чаддаг - бизнес нь нийтийн үүлэн эсвэл хувийн үүлэн дээр байгаа эсэхээс үл хамааран гүйцэтгэлийн асуудал байгаа тохиолдолд үйл ажиллагаа, засвар үйлчилгээний баг нь NPB урсгалын өгөгдлийг ашиглан контейнер хоорондын дуудлага эсвэл үүлэн холболтын түгжрэлтэй холбоотой асуудал эсэхийг хурдан тодорхойлж, оношилгооны үр ашгийг 60%-иар сайжруулж чадна.
Олон түрээслэгчтэй олон нийтийн үүлэн технологийн хувьд NPB нь өөр өөр аж ахуйн нэгжүүдийн хоорондох урсгалыг тусгаарлах, өгөгдөл алдагдахаас урьдчилан сэргийлэх, санхүүгийн салбарын нийцлийн шаардлагыг хангах боломжтой.
Дүгнэж хэлэхэд: NPB нь "сонголт" биш, харин "зайлшгүй шаардлагатай" зүйл юм.
Эдгээр нөхцөл байдлыг хянаж үзсэний дараа та NPB нь цаашид нарийн технологи биш, харин аж ахуйн нэгжүүдийн нарийн төвөгтэй сүлжээг даван туулах стандарт хэрэгсэл болохыг олж мэдэх болно. Өгөгдлийн төвүүдээс 5G хүртэл, хувийн үүлэн технологиос эхлээд эрлийз мэдээллийн технологи хүртэл NPB нь сүлжээний харагдах байдал шаардлагатай хаана ч үүрэг гүйцэтгэж чадна.
Хиймэл оюун ухаан болон захын тооцооллын тархалт нэмэгдэхийн хэрээр сүлжээний урсгал улам бүр төвөгтэй болж, NPB-ийн чадавхийг улам сайжруулах болно (жишээлбэл, хиймэл оюун ухааныг ашиглан хэвийн бус урсгалыг автоматаар тодорхойлж, захын зангилаанд илүү хөнгөн дасан зохицох боломжийг олгох). Аж ахуйн нэгжүүдийн хувьд NPB-ийг эрт ойлгож, байршуулах нь сүлжээний санаачилгыг гартаа авч, дижитал хувиргалтдаа алдаа гаргахаас зайлсхийхэд тусална.
Та салбартаа сүлжээний хяналтын бэрхшээлтэй тулгарч байсан уу? Жишээлбэл, шифрлэгдсэн урсгалыг харж чадахгүй байгаа эсвэл эрлийз үүлэн хяналт тасалдсан уу? Сэтгэгдэл хэсэгт бодлоо хуваалцаж, шийдлүүдийг хамтдаа судалцгаая.
Нийтэлсэн цаг: 2025 оны 9-р сарын 23
