【技術文章】IT雲環境的可視性-封包擷取的新挑戰-part 3

{版權宣告}本文由美國Garland Technology授權翰特科技翻譯使用

雲環境可視性: 克服關鍵挑戰

深入封包層級的可視性,在使用您的資安和監控工具時,是必要的。假設您的工具沒辦法看到所有該看到的流量,你將面臨一些風險:惡意行為可能從防禦漏洞穿過,或是對於潛在的應用程式效能問題反應緩慢。

然而,有三個主要挑戰使您無法像在本地基礎架構上一樣監視雲環境中的流量封包:

封包擷取和篩選:在使用本地基礎架構時,可以接觸到資料中心的實體,確實讓封包擷取是容易得多的。論您是透過使用有所限制的SPAN還是透過Network TAPs和packet brokers來建立網路可視性,都可以可靠地取到封包流量。但在雲的環境,尤其是公有雲,你沒有辦法實體接觸到這些流量,這導致了擷取封包或相應地對其進行篩選的困難度提高。

可視性如何追上雲的擴展:雲網路的一個賣點就是使用者可以因應新的需求,快速建立起所需的使用環境。這種按需建立規模對於業務敏捷性是很有幫助的,但是在保持完整流量可視性這方面就不是了。即便您已經為雲環境建立好一套可視性解決方案,當雲架構發展時,就又得再次更新。用傳統的方式和工具來應對快速擴展的雲環境的可視性,似乎是不太可行的。

資料傳遞的一致性:傳統網路TAP的優勢在它們的"堅定不移"。無論網路發生了什麼,接上TAP的鏈路還是依然連接著的,因此並不會有資料遺失的事情發生。但在雲端,這些傳統的可視性方案手法,卻可能變成障礙點進而產生網路盲點的出現。

非在線式資料加密帶來的挑戰:隨著新的應用程式設計模式以及連接所有雲端工作的網路生態系的發展,TLS 1.3正式成為了新的動態移動傳輸層(encryption-in-motion transport layer)安全標準。這個新的加密標準以及較早之前使用PFS的TLS,強制實行了一些新的作法以加強安全性,但是,當與雲結合時,就對雲端安全性、合規性以及障礙排除帶來了新的挑戰。

這些挑戰導致三大雲端供應商推動了一種新的可視性解決方案—Traffic Mirroring.


雲環境可視性: 克服關鍵挑戰

Google Cloud Packet Mirroring、AWS Traffic Mirroring,以及Azure Virtual Network TAP,三大雲端供應商提供這些新的工具,用以解決雲環境可視性的問題。

儘管每種方案都有其獨特功能和技術內容,終究都還是圍繞著一些相同的概念。

cloudvisibility_002.png


相同的, AWS Traffic Mirroring是Amazon VPC的一項功能讓您可以將Amazon Nitro instances的流量轉送至其他分析工具。而Azure Virtual Network TAP則是允許使用者從Azure Virtual Network (VNet)取得流量並轉送至NPB。

這些解決方案在雲計算領域裡,是相當新的。並且代表著對了解網路可視性的重要性的重大轉變。但是實際上,這些解決方案將增加您的雲環境成本。

AWS Traffic Mirroring在這些方案中,是最為成熟的一個,給予使用者進行封包擷取時不同的操作選項。當您開始全面性研究監控解決方案時,儘可能降低流量鏡像成本是至關重要的,例如在事件反應中需要進行取證分析(forensic analysis)的情況下。為此,在考量AWS Traffic Mirroring的使用時,您可以考慮以下三個主要的操作選項:

• On-Demand(有需要再執行):

對於處理事件的反應上,這是極端保守的選項。資安團隊會確定雲環境內部的潛在威脅,然後啟動事件處理以及開始作封包擷取。

• Constant(持續運行):

當監視處於持續運行狀態時,您更有可能在異常影響業務之前發現異常。 這是大多數資安團隊在本地基礎架構執行的操作,但是要在雲中複製此方法並不容易。

• Sampled(取樣):

有需要再執行的方式,對於事件反應來講,常常是來不及的,而持續運行對於雲環境而言又太難達成。許多AWS顧客會選擇使用取樣運作 ,作為一個保持對雲環境的可視性的折衷作法。


很多網路管理團隊採用這三種方式,挑選他們覺得"夠用"的方式來建立雲環境的可視性。但有一件很重要的事情是,必須知道Traffic Mirroring的限制,以及考慮與本地基礎架構功能能匹配的雲可視性解決方案。


在VPC-Based環境下Traffic Mirroring的限制

如果您要在AWS環境中進行大量投資,那麼“Traffic Mirroring”是一個不錯的產品。 與其他軟體類的選擇相比,基於基礎架構的分接/鏡像解決方案是有其優越之處,因為它不需要耗費主機記憶體或CPU資源(儘管它確實消耗了主機頻寬使用量)。

但是,“Traffic Mirroring”也不是完美的雲可視性解決方案。 在評估選項並制定可視性計劃時,請注意以下“Traffic Mirroring”限制。

1. 欠缺傳統VM支援

VPC v5 Traffic Mirroring 只支援運作於最新一代的Nitro Hypervisor上的物件(instances)。最終,目標是要讓使用者升級到最新版本的AWS產品。但是假設您仍然運行著舊版本的VM,您可能無法轉移。如果您的雲環境中有舊版本的VM,那麼在考慮可視性解決方案時,要特別注意。

2. 無法多重複製封包(Packet Replication)

VPC Traffic Mirroring 只會複製一份封包,傳送到一個指定位置。如果有需要,您可以切分封包副本給不同分析工具,藉以擴展封包副本的使用。 但是您無法將相同的數據包副本發送到兩個或多個工具。 舉例來說,您可以在一個分析工具,使用所有的port 80流量,其他的流量分給其他分析工具使用。但是這兩個位置都沒辦法看到所有的封包。

AWS 表示他們會將封包記錄至儲存裝置用以定位事件發生。從雲的角度來看,這是完美的,因為這些事件實際上是導向至無限擴展、無限快速且完全保證不會遺失數據的大型雲磁碟上。 唯一的問題是,您將需要採用可以從雲存儲讀取資料的新工具。

3. 不支援Kubernetes 和 Containers

我們都知道Containers和Kubernetes在解放雲環境的優勢方面,起著關鍵作用。這是雲和數據中心應用程式開發和交付的主要趨勢。

但因為Traffic Mirroring不支援這些技術,所以它不會是一個最佳的雲環境可視性解決方案。

4. 無法支援解密

為了儘可能地提高安全性,VPC環境中的所有流量封包均使用次世代SSL加密。雖然這對於保護您的工作內容非常有用,但對可見性卻是不便之處。 傳統的離線解密工具將無法處理這些封包。

5. 全時Monitoring成本太高

在本文撰寫時,AWS對於Traffic Mirroring的收費為每小時0.015美元,如果全天使用,每個月每個Mirroring的費用為10.80美元。 假設,對於一家需要部署65,000個全時鏡像的公司來說,僅僅是監控流量,每年的成本約為800萬美元。 這還是在您考慮分析工具和解密成本之前。

對於一次性的故障排除和診斷情況,該成本可能是值得的。 但是對於基礎廣泛(全天甚至是長期)的監視,這將耗盡您的IT預算(甚至都不足夠)。

6. 流量低優先序

AWS的主要重點是提供雲服務。 而Traffic Mirroring可以當作是一種下層的可編程功能。 由於沒有真正的鏡像管理系統,實際上Traffic Mirroring是需要DevOps / SecOps在可視性解決方案中編程的一組功能。 對於主要的可見性任務來說,這可能還不夠。


其他監控工具

AWS Traffic Mirroring的局限性應足以說明那是一個專用的雲可視性解決方案。而跨雲環境查看100%的流量非常重要,是不可忽視的。 而GCP或Azure的選項也沒有比較好,一樣限制了您沒有封包複製功能或支援Kubernetes。

然而,部署Virtual TAP,可以幫助您將在本地基礎建設的可視性功能引入雲環境。


如何加強您的雲環境可視性

在您開始檢驗封包之前,您得先能取得它們。Garland Prisms 的流量複製及解密功能可以填補現有解決方案的不足或不可用之處。

今日的虛擬化架構及應用,是無法容忍會產生流量瓶頸和盲點的設備存在的。Garland Prisms的流量複製及解密解決方案,讓您的網路工具可以更深入地看到您的計算機環境,可以在不更動您的部署架構的狀況下,看到Kubernetes及您的雲環境而且不影響到應用效能或架構。

Garland Prisms 是一套可管理的、唯讀的流量複製工具。這套工具可以從您的動態工作環境安全地擷取流量,因應需求而彈性調整,所以不必擔心這過程中會有封包遺失。

並且可以為您現有的環境提供這些功能:

  • 補足您雲端流量複製能力,提供更多的可視性及一對多複製功能,流量可以複製給多個不同目的地,並讓您的現有工具有解密可視性(decrypted visibility)。
  • 擷取container及 pod的流量,然後安全地傳送給任何分析用的工具。 Sensors可以用DaemonSet on Kubernetes nodes、Docker containers on cloud instances的形式部署,用以擷取及複製所有進出containers的流量。
  • 可以搭配任何用於深度監視和封包檢驗的工具,在私有雲中重新啟用您的離線可見性(out-of-band visibility)。 即便使用GRE / VXLAN封裝的流量也能輕鬆轉發到任何指定的IP地址。
  • 提供基於TLS解密功能(包含 TLS 1.3/1.2 with PFS),具有對稱密鑰截取功能,該密鑰可以用來處理任何會話(session)或協定(protocol)。
  • Garland Prisms幫助您獲得真正的網路流量分析可視性,以便您可以保持對雲環境的控制。 通過保證從雲環境中捕獲100%的流量,您可以利用其他可視性工具來滿足進階篩選和流量彙聚的需要。


    白皮書下載:


    相關連結:

    產品資訊:Garland Prisms Virtual TAP system 虛擬環境高流量網路分流器
    「IT雲環境的可視性-封包擷取的新挑戰」系列 - Part 1
    「IT雲環境的可視性-封包擷取的新挑戰」系列 - Part 2

    2021-03-08
    版權所有 抄襲必究 copyright © 2021 翰特科技股份有限公司 All rights reserved.