Дижитал хувиргалтаар удирдуулсан аж ахуйн нэгжийн сүлжээ нь "компьютерийг холбодог хэдхэн кабель" байхаа больсон. IoT төхөөрөмжүүд олширч, үйлчилгээнүүд үүлэн рүү шилжиж, алсын зайн ажил улам бүр нэмэгдэж байгаатай холбоотойгоор сүлжээний урсгал хурдны зам дээрх хөдөлгөөнтэй адил дэлбэрч байна. Гэсэн хэдий ч, замын хөдөлгөөний энэ өсөлт нь бас сорилтуудыг дагуулдаг: аюулгүй байдлын хэрэгслүүд чухал өгөгдлийг барьж чаддаггүй, хяналтын системүүд илүүдэл мэдээллээр дарагдаж, шифрлэгдсэн траффик дотор нуугдаж буй аюулууд илрэхгүй байна. Сүлжээний багц зуучлагч (NPB) гэж нэрлэгддэг "үл үзэгдэх нялцгай биет" энд л хэрэг болно. Сүлжээний траффик болон хяналтын хэрэгслүүдийн хооронд ухаалаг гүүр болж, бүхэл бүтэн сүлжээгээр дамждаг замын хөдөлгөөний эмх замбараагүй урсгалыг зохицуулж, хяналтын хэрэгслүүдийг шаардлагатай мэдээллээр үнэн зөвөөр хангаж, аж ахуйн нэгжүүдэд сүлжээний "үл үзэгдэх, хүртээмжгүй" сорилтуудыг шийдвэрлэхэд тусалдаг. Өнөөдөр бид сүлжээний үйл ажиллагаа, засвар үйлчилгээнд энэ үндсэн үүргийн талаар иж бүрэн ойлголт өгөх болно.
1. Компаниуд яагаад одоо NPB хайж байна вэ? - Нарийн төвөгтэй сүлжээнүүдийн "харагдах хэрэгцээ"
Үүнийг анхаарч үзээрэй: Таны сүлжээ олон зуун IoT төхөөрөмж, хэдэн зуун үүлэн сервер, ажилтнууд түүнд хаанаас ч алсаас нэвтэрч байгаа үед ямар ч хортой траффик нэвтэрч орохгүй байхыг хэрхэн баталгаажуулах вэ? Ямар холбоосууд ачаалал ихтэй, бизнесийн үйл ажиллагааг удаашруулж байгааг хэрхэн тодорхойлох вэ?
Хяналтын уламжлалт аргууд удаан хугацааны туршид хангалтгүй байсаар ирсэн: аль ч хяналтын хэрэгсэл нь зөвхөн хөдөлгөөний тодорхой сегментүүдэд анхаарлаа төвлөрүүлж, гол зангилаа байхгүй; эсвэл тэдгээр нь бүх урсгалыг нэг дор хэрэгсэл рүү дамжуулж, мэдээллийг шингээх чадваргүй болж, шинжилгээний үр ашгийг удаашруулдаг. Цаашилбал, траффикийн 70 гаруй хувь нь шифрлэгдсэн тул уламжлалт хэрэгслүүд түүний агуулгыг бүрэн харах боломжгүй болсон.
NPB-ууд үүссэн нь "сүлжээний харагдах байдал дутагдалтай" гэсэн өвдөлтийн цэгийг шийддэг. Тэд замын хөдөлгөөний нэвтрэх цэг болон хяналтын хэрэгслүүдийн хооронд сууж, тархсан траффикийг нэгтгэж, илүүдэл өгөгдлийг шүүж, эцэст нь IDS (Халдалтыг илрүүлэх систем), SIEM (Аюулгүй байдлын мэдээллийн удирдлагын платформ), гүйцэтгэлийн шинжилгээний хэрэгсэл гэх мэт нарийн урсгалыг хуваарилдаг. Энэ нь хяналтын хэрэгслүүдийг өлсгөхгүй, хэт ханасан эсэхийг баталгаажуулдаг. NPB нь траффикийн кодыг тайлж, шифрлэж, эмзэг өгөгдлийг хамгаалж, аж ахуйн нэгжүүдэд сүлжээний төлөв байдлын талаар тодорхой мэдээлэл өгөх боломжтой.
Байгууллагад сүлжээний аюулгүй байдал, гүйцэтгэлийг оновчтой болгох эсвэл дагаж мөрдөх шаардлага байгаа бол NPB зайлшгүй үндсэн бүрэлдэхүүн хэсэг болсон гэж хэлж болно.
NPB гэж юу вэ? - Архитектураас үндсэн чадавхи хүртэлх энгийн дүн шинжилгээ
Олон хүмүүс "пакет брокер" гэсэн нэр томъёо нь нэвтрэхэд техникийн өндөр саад тотгор учруулдаг гэж боддог. Гэсэн хэдий ч, илүү хүртээмжтэй аналоги нь "шуурхай хүргэлтийн ангилах төв"-ийг ашиглах явдал юм: сүлжээний урсгал нь "буухиа илгээмж", NPB нь "ангилах төв", хяналтын хэрэгсэл нь "хүлээн авах цэг" юм. NPB-ийн ажил нь тараагдсан илгээмжийг нэгтгэх (нэгтгэх), хүчингүй илгээмжийг арилгах (шүүлт хийх), хаягаар нь ангилах (тараах) юм. Энэ нь мөн тусгай илгээмжийг задлах, шалгах (шифр тайлах), хувийн мэдээллийг устгах (массаж хийх) боломжтой - бүх үйл явц нь үр дүнтэй бөгөөд нарийн байдаг.
1. Эхлээд NPB-ийн "араг яс" -ыг харцгаая: гурван үндсэн архитектурын модуль.
NPB ажлын урсгал нь эдгээр гурван модулийн хамтын ажиллагаанд бүрэн тулгуурладаг; Тэдний аль нь ч алга байж болохгүй:
○Замын хөдөлгөөнд нэвтрэх модуль: Энэ нь "буухиа хүргэх порт"-той тэнцэх бөгөөд свич толин тусгал порт (SPAN) эсвэл задлагчаас (TAP) сүлжээний урсгалыг хүлээн авахад тусгайлан ашиглагддаг. Энэ нь физик холбоос эсвэл виртуал сүлжээний урсгалаас үл хамааран үүнийг нэгдсэн байдлаар цуглуулж болно.
○Боловсруулах хөдөлгүүр:Энэ нь "Ангилах төвийн гол тархи" бөгөөд олон холбоост урсгалыг нэгтгэх (нэгтгэх), тодорхой төрлийн IP-ээс урсгалыг шүүх (шүүлт), ижил траффикийг хуулж өөр хэрэгсэл рүү илгээх (хуулбарлах), SSL/TLS шифрлэгдсэн траффикийг тайлах (шифрлэх) гэх мэт хамгийн чухал "боловсруулалтыг" хариуцдаг.
○Түгээлтийн модуль: Энэ нь боловсруулсан траффикийг холбогдох хяналтын хэрэгсэлд үнэн зөв хуваарилж, ачааллыг тэнцвэржүүлж чаддаг "шуудан зөөгч"тэй адил юм - жишээлбэл, гүйцэтгэлийн шинжилгээний хэрэгсэл хэтэрхий завгүй байвал нэг хэрэгслийг хэт ачаалахаас зайлсхийхийн тулд замын хөдөлгөөний нэг хэсгийг нөөц хэрэгсэлд хуваарилах болно.
2. NPB-ийн "Hard Core Capabilities": 12 үндсэн функц нь сүлжээний асуудлын 90%-ийг шийддэг.
NPB нь олон функцтэй боловч аж ахуйн нэгжүүдийн хамгийн түгээмэл хэрэглэгддэг функцүүдэд анхаарлаа хандуулцгаая. Тус бүр нь практик өвдөлтийн цэгтэй тохирч байна:
○Траффик хуулбарлах / нэгтгэх + шүүлтүүрЖишээлбэл, хэрэв аж ахуйн нэгж 10 сүлжээний холбоостой бол NPB эхлээд 10 холбоосын траффикийг нэгтгэж, дараа нь "давхардсан өгөгдлийн багц" болон "хамааралгүй урсгал" (видео үзэж байгаа ажилчдын урсгал гэх мэт) шүүж, зөвхөн бизнестэй холбоотой урсгалыг хяналтын хэрэгсэл рүү илгээдэг - үр ашгийг 300% -иар шууд сайжруулдаг.
○SSL/TLS код тайлах: Өнөө үед HTTPS шифрлэгдсэн траффик дотор олон хортой халдлага нуугдаж байна. NPB нь энэ траффикийг аюулгүйгээр тайлж, IDS, IPS зэрэг хэрэгслүүдэд шифрлэгдсэн контентыг "үзэж", фишинг холбоос, хортой код гэх мэт далд аюулыг олж авах боломжийг олгодог.
○Өгөгдлийн далдлах / Мэдрэмжгүйжүүлэх: Траффик нь зээлийн картын дугаар, нийгмийн даатгалын дугаар гэх мэт эмзэг мэдээллийг агуулж байвал NPB энэ мэдээллийг хяналтын хэрэгсэл рүү илгээхийн өмнө автоматаар "арилгах" болно. Энэ нь багажийн шинжилгээнд нөлөөлөхгүй бөгөөд өгөгдөл алдагдахаас сэргийлэхийн тулд PCI-DSS (төлбөрийн нийцэл) болон HIPAA (эрүүл мэндийн үйлчилгээний нийцэл) шаардлагуудыг дагаж мөрдөх болно.
○Ачаалал тэнцвэржүүлэх + Ачаалал алдагдуулахХэрэв аж ахуйн нэгж гурван SIEM хэрэгсэлтэй бол NPB аль нэг хэрэгсэлд ачаалал өгөхөөс урьдчилан сэргийлэхийн тулд тэдгээрийн хооронд урсгалыг жигд хуваарилах болно. Хэрэв нэг хэрэгсэл амжилтгүй болвол NPB тасралтгүй хяналтыг хангахын тулд траффикийг нөөц хэрэгсэл рүү нэн даруй шилжүүлнэ. Энэ нь ялангуяа сул зогсолтыг хүлээн зөвшөөрөх боломжгүй санхүү, эрүүл мэндийн салбаруудад онцгой ач холбогдолтой юм.
○Тунелийн төгсгөл: VXLAN, GRE болон бусад "Туннелийн протоколууд" нь одоо үүлэн сүлжээнд түгээмэл хэрэглэгддэг. Уламжлалт хэрэгслүүд эдгээр протоколуудыг ойлгож чадахгүй. NPB нь эдгээр хонгилыг "задаргаалах" ба доторх бодит урсгалыг гаргаж авах боломжтой бөгөөд ингэснээр хуучин хэрэгслүүд нь үүлэн орчинд урсгалыг боловсруулах боломжийг олгодог.
Эдгээр функцүүдийн хослол нь NPB-д зөвхөн шифрлэгдсэн траффикийг "харах" боломжийг олгодог төдийгүй эмзэг өгөгдлийг "хамгаалах" болон янз бүрийн нарийн төвөгтэй сүлжээний орчинд "дасан зохицох" боломжийг олгодог - иймээс энэ нь үндсэн бүрэлдэхүүн хэсэг болж чаддаг.
III. NPB хаана ашиглагддаг вэ? — Байгууллагын бодит хэрэгцээг хангах таван үндсэн хувилбар
NPB нь нэг төрлийн хэрэгсэл биш юм; оронд нь янз бүрийн хувилбаруудад уян хатан дасан зохицдог. Энэ нь дата төв, 5G сүлжээ эсвэл үүлэн орчин ч бай, нарийн программуудыг олдог. Үүнийг харуулахын тулд хэд хэдэн ердийн тохиолдлыг авч үзье.
1. Дата төв: Зүүн-Баруун замын хөдөлгөөнийг хянах түлхүүр
Уламжлалт дата төвүүд нь зөвхөн хойд-өмнөд урсгалд (серверүүдээс гадаад ертөнц рүү чиглэсэн урсгал) төвлөрдөг. Гэсэн хэдий ч виртуалчлагдсан мэдээллийн төвүүдэд замын хөдөлгөөний 80% нь зүүнээс баруун тийш (виртуал машинуудын хоорондох хөдөлгөөн) байдаг бөгөөд үүнийг уламжлалт хэрэгслүүд зүгээр л барьж чаддаггүй. Энд NPB-ууд хэрэгтэй болно:
Жишээлбэл, томоохон интернет компани VMware программыг ашиглан виртуалчлагдсан дата төв байгуулдаг. NPB нь vSphere (VMware-ийн удирдлагын платформ)-той шууд нэгтгэгдэж, виртуал машинуудын хоорондох зүүнээс баруун тийш чиглэсэн урсгалыг үнэн зөв авч, IDS болон гүйцэтгэлийн хэрэгслүүдэд түгээдэг. Энэ нь "сохор цэгүүдийг хянах"-ыг арилгаад зогсохгүй замын хөдөлгөөний шүүлтүүрээр дамжуулан багаж хэрэгслийн үр ашгийг 40%-иар нэмэгдүүлж, дата төвийн засварын дундаж хугацааг (MTTR) хоёр дахин багасгадаг.
Нэмж дурдахад, NPB нь серверийн ачааллыг хянаж, төлбөрийн өгөгдөл нь PCI-DSS-тэй нийцэж байгаа эсэхийг баталгаажуулж, дата төвүүдийн "зайлшгүй ажиллагаа, засвар үйлчилгээний шаардлага" болдог.
2. SDN/NFV орчин: Програм хангамжаар тодорхойлогдсон сүлжээнд дасан зохицох уян хатан үүрэг
Одоо олон компаниуд SDN (Software Defined Networking) эсвэл NFV (Network Function Virtualization) ашиглаж байна. Сүлжээ нь суурин техник хангамж байхаа больсон, харин уян хатан програм хангамжийн үйлчилгээ юм. Энэ нь NPB-ийг илүү уян хатан болгохыг шаарддаг:
Жишээлбэл, их сургууль нь "Өөрийн төхөөрөмжийг авчрах (BYOD)" програмыг хэрэгжүүлэхийн тулд SDN ашигладаг бөгөөд ингэснээр оюутнууд болон багш нар утас, компьютерээ ашиглан кампус сүлжээнд холбогдох боломжтой болно. NPB нь SDN хянагчтай (OpenDaylight гэх мэт) нэгдсэн бөгөөд сургалтын болон оффисын талбайн хоорондох замын хөдөлгөөний тусгаарлалтыг хангахын зэрэгцээ бүс бүрээс хяналтын хэрэглүүр рүү чиглэсэн хөдөлгөөнийг зөв хуваарилдаг. Энэ арга нь оюутнууд болон багш нарын хэрэглээнд нөлөөлөхгүй бөгөөд оюутны хотхоноос гадуурх хортой IP хаягуудаас хандах зэрэг хэвийн бус холболтыг цаг тухайд нь илрүүлэх боломжийг олгодог.
NFV орчны хувьд ч мөн адил. NPB нь эдгээр "програм хангамжийн төхөөрөмжүүд" -ийн тогтвортой ажиллагааг хангахын тулд виртуал галт хана (vFWs) болон виртуал ачаалал тэнцвэржүүлэгчийн (vLBs) урсгалыг хянаж чаддаг бөгөөд энэ нь уламжлалт техник хангамжийн хяналтаас хамаагүй уян хатан байдаг.
3. 5G сүлжээ: Зүссэн хөдөлгөөн болон захын зангилаануудыг удирдах
5G-ийн үндсэн шинж чанарууд нь "өндөр хурд, бага хоцролт, том холболтууд" боловч энэ нь хяналт тавихад шинэ сорилтуудыг авчирдаг: жишээлбэл, 5G-ийн "сүлжээний зүсэлт" технологи нь нэг физик сүлжээг олон логик сүлжээнд хувааж чаддаг (жишээлбэл, бие даасан жолоодлогын хувьд бага хоцрогдолтой хэсэг, траффик тус бүрийг хянахын тулд их хэмжээний холболтын зүсмэлүүд), трафикийг бие даан хянах шаардлагатай.
Нэг оператор энэ асуудлыг шийдэхийн тулд NPB ашигласан: энэ нь 5G зүсмэл бүрийн хувьд бие даасан NPB хяналтыг суурилуулсан бөгөөд энэ нь зүсмэл бүрийн хоцролт, нэвтрүүлэх чадварыг бодит цаг хугацаанд нь харахаас гадна хэвийн бус урсгалыг (зүсмэлүүдийн хооронд зөвшөөрөлгүй нэвтрэх гэх мэт) цаг тухайд нь таслан зогсоож, автомат жолоодлогын гол бизнесүүдийн хоцрогдол багатай шаардлагыг хангасан.
Нэмж дурдахад, 5G захын тооцооллын зангилаа улс даяар тархсан бөгөөд NPB нь тархсан траффикийг хянах, нааш цааш өгөгдөл дамжуулахаас үүдэлтэй саатлаас зайлсхийхийн тулд захын зангилаанд байрлуулсан "хөнгөн хувилбар"-ыг өгөх боломжтой.
4. Cloud Environment/Hybrid IT: Олон нийтийн болон хувийн үүлэн мониторингийн саад бэрхшээлийг арилгах нь
Ихэнх аж ахуйн нэгжүүд одоо эрлийз үүлэн архитектурыг ашиглаж байна - зарим үйлдлүүд Alibaba Cloud эсвэл Tencent Cloud (нийтийн үүл), зарим нь өөрсдийн хувийн үүлэн дээр, зарим нь дотоод серверүүд дээр байрладаг. Энэ хувилбарт замын хөдөлгөөн олон орчинд тархаж, хяналтыг хялбархан тасалдуулдаг.
Хятадын Миншэн банк энэхүү өвдөлтийн цэгийг шийдвэрлэхийн тулд NPB-ийг ашигладаг: түүний бизнес нь Кубернетесийг чингэлэгт байршуулахад ашигладаг. NPB нь контейнер (Pods) хоорондын урсгалыг шууд барьж, үүлэн серверүүд болон хувийн үүл хоорондын урсгалыг хооронд нь холбож "төгсгөлийн хяналт" үүсгэх боломжтой - бизнес нь нийтийн үүлэн эсвэл хувийн үүлэн дотор байгаа эсэхээс үл хамааран гүйцэтгэлийн асуудал гарсан тохиолдолд ашиглалтын болон засвар үйлчилгээний баг нь NPB замын хөдөлгөөний өгөгдлийг ашиглан контейнер хоорондын дуудлага, үүлэн холболтын үр ашгийн холболттой холбоотой асуудал байгаа эсэхийг хурдан олох боломжтой.
Олон түрээслэгчтэй нийтийн үүлний хувьд NPB нь янз бүрийн аж ахуйн нэгжүүдийн хоорондох замын хөдөлгөөний тусгаарлалтыг хангаж, мэдээлэл алдагдахаас сэргийлж, санхүүгийн салбарын нийцлийн шаардлагыг хангаж чадна.
Дүгнэж хэлэхэд: NPB бол "сонголт" биш, харин "заавал" юм
Эдгээр хувилбаруудыг судалсны дараа та NPB нь нарийн технологи байхаа больсон, харин аж ахуйн нэгжүүдэд нарийн төвөгтэй сүлжээг даван туулах стандарт хэрэгсэл болохыг олж мэдэх болно. Өгөгдлийн төвөөс 5G хүртэл, хувийн үүлнээс эхлээд эрлийз IT хүртэл NPB нь сүлжээний харагдах байдлыг хангах шаардлагатай хаана ч үүрэг гүйцэтгэж чадна.
AI болон захын тооцооллын тархалт нэмэгдэж байгаа тул сүлжээний траффик улам бүр төвөгтэй болж, NPB чадавхийг улам сайжруулах болно (жишээлбэл, хиймэл оюун ухаан ашиглан хэвийн бус урсгалыг автоматаар тодорхойлох, захын зангилаанд илүү хөнгөн дасан зохицох боломжийг олгох). Аж ахуйн нэгжүүдийн хувьд NPB-ийг эртхэн ойлгож, байршуулах нь сүлжээний санаачлагыг гартаа авч, дижитал хувиргалтдаа саад бэрхшээлээс зайлсхийхэд тусална.
Та салбартаа сүлжээний мониторинг хийхэд бэрхшээлтэй тулгарч байсан уу? Жишээлбэл, шифрлэгдсэн траффик харагдахгүй байна уу эсвэл хайбрид үүлний хяналт тасалдсан уу? Сэтгэгдэл хэсэгт санал бодлоо чөлөөтэй хуваалцаж, шийдлийг хамтдаа судалцгаая.
Шуудангийн цаг: 2025 оны 9-р сарын 23-ны хооронд
