随着企业的网络环境越来越复杂,涵盖内部网络、机房,以及云计算服务,不再有明显的内外边界区分之际,从监管网页应用程序流量着手,已有许多安全厂商在自家产品线中,推出网络流量的事件收集与分析(Application Intelligence)功能,借由监控这些网页应用程序的访问动态,来找出企业可能出现的攻击事件。专精于加密流量管控的Gigamon,最近也开始在GigaSmart平台里,纳入相关机制,让企业得以快速取得应用程序活动迹象,该公司产品管理部门主管Preetham Gopalaswamy特别来台宣传这项新功能。
随着企业运用网络的方式出现变化,面临数字转型浪潮,出现了敏捷开发流程与极为分散的应用程序,使得网络环境变得极为复杂,而且,大多数的网络流量,都是经由HTTP或HTTPS协议发送,不若以往能基于网络协议和连接端口,区隔出特定的应用程序流量。Preetham Gopalaswamy指出,许多企业正在进行数字转型,虽然,首当其冲的问题,仍然是转型的愿景,同时,应用数字工具的作法,要能切合公司原本的自身文化。但是在转型过程会导入的各式应用程序,企业不只需要面对上述网络环境的变化,同时还要兼顾性能与用户体验,以及安全及法规的要求。因此,Preetham Gopalaswamy认为,透视网络第7层的内容,便成为管理网络流量的切入点,并且能从中找寻潜在的安全事件。
在Gigamon推出Application Intelligence之前,网管人员还是能借由GigaSmart平台,使用该平台内置的过滤机制,也就是Application Packet Filtering与Application Session Filter,处理封包和连接通信过程,手动设置条件,针对指定的应用程序逐一进行管控。随着企业需要管理的应用程序数量出现爆炸性增长,而且普遍需要通过网络第7层的流量,来识别应用程序访问行为,为此,Gigamon也依据上述激增的企业需求,开发出Application Intelligence。
为何企业会需要自动化套用政策?以往企业所需列管的应用程序数量不多,网管人员或许能够定期维护相关的管理政策。但随着企业运用的应用程序范围,不再局限于自行内部构建的形态,也包括了各式各样的云计算服务。同时,除了公司的桌面计算机,员工还会通过自己的笔记本电脑与移动设备上网。再者,企业内部越来越多的物联网设备,流量也应该受到管理。若是企业完全依靠网管人员自行设置这些政策,难免会出现缺漏的情况,或者,无法跟随网页应用程序与云计算服务的改版,即时调整。
而在Application Intelligence其中,内置了超过3,200种常见的应用程序范本,只要直接在管理接口上勾选,企业的网管人员就可以加以管理网络流量,并且发送到指定的安全设备进行检测,可大幅减轻管控流量负担。
相较于Palo Alto等其他安全厂商推出的网络流量分析平台,Preetham Gopalaswamy认为,Gigamon提供的Application Intelligence模块,特色在于网络流量的收集更为完整,诉求在南北向网络流量之余,GigaVUE节点同时也收集内部网络设备之间的流量,因此,应用程序访问的面貌将会更清晰。而这些由Gigamon节点设备所收集到的网络流量数据,可进一步发送到安全事件管理(SIEM)平台,让企业着手进行深入调查。
依据主要功能区分的角度来看,Gigamon Application Intelligence提供了3种模块,分别是Application Filtering、Application Metadata,以及Application Visualization软件。它们所对应的流量管控功能,涵盖了应用程序流量管控与信息高端运用,以及可视化呈现应用程序的执行趋势等。其中的Application Filtering,以及Application Visualization,已正式推出,Application Metadata则将于7月上线。
解析应用程序流量内容,并提供流量分布图表
在Gigamon Application Intelligence的3种功能模块里,首先,我们可通过Application Filtering过滤应用程序流量,再引导到指定的安全检测设备,这是相当重要的功能,企业能借此指定检测流量的策略。
例如,对于员工使用脸书和推特社群网站的行为,这些流量可能要送到上网安全网关,检查其中是否含有潜在威胁;针对上传到Dropbox、GitHub的文件,以及程序代码,可能必须经由数据外泄防治(DLP)措施,过滤传输机密敏感数据的行为;对于企业使用的MongoDB数据库,以及Elasticsearch搜索引擎,企业可能特别需要监控它们的性能,将访问流量交由网络流量的管理工具进行监控等。Preetham Gopalaswamy表示,若是流量没有经过分门别类,全部直接交给安全防护措施执行检测,企业所需花费的资源将会非常庞大。
而在Application Filtering的流量引导政策来看,Preetham Gopalaswamy表示,这个模块的功能,涵盖工业控制系统(ICS)、影子IT(Shadow IT)等层面,能够进行识别和管理,或是进一步加以隔离。
对于企业所有应用程序的流量情况,Gigamon则是通过Application Visualization,提供分析图表,网页应用程序的流量使用状态,网管人员能够更容易掌握。不过,Preetham Gopalaswamy表示,这项组件目前的功能,仍然以提供应用程序流量的监控信息为主,企业若要从中找出可能的安全事件,仍然需要搭配其他分析工具,而Gigamon也计划将加入更多分析信息的呈现。
提供图像化的流量信息
Application Visualization提供了易于判读的应用程序流量图表,让网管人员能快速得知大量占用流量的应用程序,以及流量运用走势。
能指定特定应用程序流量的管理政策
Application Filtering能过滤与分派网络流量,将流量交由特定的网络监控工具或是安全设备,进行分析。图中的设置里,便是指定将雅虎网站流量,发送到Wireshark进行封包检测。
可输出多种格式中继数据,到安全系统进一步运用
在GigaSmart平台里,有了Application Intelligence,将应用程序的流量态势初步汇集整理后,网管人员能直接由Application Visualization审查,然而,Preetham Gopalaswamy强调,这些已识别的网络流量,可转换成中继数据(Metadata),通过Netflow、IPFIX,以及CEF等格式文件,发送到企业的安全事件管理平台上,执行深度分析作业。而这个将网络流量整理成中继数据的模块,称为Application Metadata。
在Application Metadata可汇集整理中继数据的识别元素而言,总共超过5,000种以上。以前述的文件共享云计算服务Dropbox、Box等而言,中继数据可能会包含的内容,像是用户登录服务,或是文件上传、下载的记录等;企业若要监控数据库的活动,像是MongoDB或是PostgreSQL的动态,在登录的信息外,中继数据还会记录操作识别码、发送消息长度等。
至于SCADA与工业控制系统的部分,Application Metadata会在中继数据列入功能代码、控制标签,以及记录下系统所存储的数据等内容,因此,这套分析平台,也能够包括这些工控设备。