人们在讨论网络盲点的时候指的是什么?然后这些真的有那么重要吗?第二个问题的答案是绝对是肯定的。盲点直接关系到网络问题和中断,增加网络安全风险和潜在的法规遵从性问题。关于第一个问题,我们问“盲点”是什么意思,盲点是缺乏网络可见性的隐藏原因。
常见盲点示例
-
孤岛IT组织——安全,网络IT和法规遵从性团队不会经常交流或者分享数据,这在企业中形成了孤岛。这可能导致不一致的数据和合规性策略,SPAN端口争用问题,不正确的SPAN端口编程,从而导致错误或丢失数据捕获,以及由于在错误的位置收集数据而引起普通旧数据冲突。
-
虚拟化技术的使用——某研究表明高达80%的虚拟化数据中心流量是东西向的(即虚拟机间和虚拟机内的流量),因此它永远不会达到机架的顶部,在那里可以通过传统的TAP和SPAN技术进行监控。虽然存在虚拟TAP技术来应对这种威胁,但是某研究表明国内接近51%的IT工程师不知道这种技术。例如,一个医疗保险提供商100多个虚拟主机的可见性为0。
-
SPAN端口过载——一个案例研究显示了某国家药房在SPAN端口争用问题中遇到的各种问题,以及它们的SPAN端口也因数据过载情况而丢包和造成信息丢失的事实。如果CPU过载,则SPAN端口可以并且将丢弃监视数据。除了遇到端口争用问题外,该案例研究还表明,客户在拆分和过滤来自SPAN端口数据时也遇到了问题。
-
流氓IT——当用户添加自己的以太网交换机、接入点(从iPhone)、使用异地数据存储(如Box)或向网络添加其他内容时,公司安全策略通常会被颠覆,从而导致安全、合规性和责任问题。IT对这些设备一无所知,特别是因为它们可能偶尔出现,像Wi-Fi热点。
-
合并和收购——协调不同的设备和系统通常会导致互操作性问题,从而增加系统/应用程序停机时间,关闭系统功能以提高网络性能,以及在进行大规模网络重新架构时缩减/取消网络和应用程序监控。这导致可见性非常有限(即盲点),因为没有人真正知道发生了什么。
-
添加新的网络设备——添加新的设备时,通常没有记录谁拥有它以及它做什么。设备可能会被“丢失”或遗忘,尤其是在IT关键人员离开公司或者更换部门时。由于缺乏适当的软件更新和未知的用户访问权限,仍在网络中运行的“丢失”的设备可能是安全漏洞的来源。
-
新设备复杂性——新设备通常很难理解,即它做什么以及如何最好地使用它。对于数据网络来说,复杂性似乎一直存在。某研究表明,系统功能每增加25%,复杂性就会增加100%。如果IT部门没有时间研究新设备以及如何对其进行适当的编程,他们通常会停止使用这些设备,然后最终将其抛诸脑后。设备通常可以在网络中保持运行即使它没有被使用。
-
网络复杂性——当添加新链路和办公室位置时,可以使用不同的VLAN、子网等等来设置它们,以便对其进行地理划分。这些分段网络通常都由单独的设备用于远程登录、身份验证等,这使得很难跟踪这些位置处发生的情况。
-
监控/数据收集策略不一致——这可能来自多个源,但其中一个常见的影响是虚拟监控设备策略和物理设备监控策略通常是不同的,这可能会导致合规性数据不匹配、根本无法捕获必需数据和安全问题。
-
网络规划问题——在许多情况下,所需的数据根本不存在。对于拥有外部客户的组织来说,这可能是一种常见的体验。例如,服务提供商(尤其是无线服务提供商)需要良好的客户数据(服务漏洞、无线电故障、覆盖不良、甚至客户不满)才能正确规划其网络并提供更好的体验质量。
-
推迟的网络升级——推迟升级可能会导致继续使用旧的和过时设备,这些设备在高速网络上的用途有限。网络性能变慢,这将影响IT部门按要求快速解决问题的能力。
-
实施网络升级——仅执行必要的升级操作就可能导致盲点。一个案例是如果添加了新的高速设备。该设备最终可能会使网络的各个组件(尤其是监视和安全工具)过载,数据过多。如果没有同时升级任何监视和性能工具,情况尤其如此。这些工具可能会过载,并以比预期更快的速度丢失(即丢弃)数据或覆盖缓冲区/日志。此外,工具仪表板通常会被限制其可见范围,从而使盲点保持隐藏。
-
添加新应用程序——医院的一个常见的盲点是访问应用程序数据和应用程序性能趋势。
-
安全和网络审核被推迟或很少进行——此操作通常会为网络上的各种威胁和恶意软件提供一个安全舒适的避风港。很难说会隐藏什么,但不管是什么肯定都不是您要的。
-
异常——发生无法理解的网络事件,通常由IT处理,但是如果这些时间本质上是虚假和随机的,并且没有得到诊断,这可能在以后导致更大的问题。
-
设备编程规则不正确——例如防火墙编程,它基于规则,通常通过访问列表进行处理。当流量与规则匹配时就立即转发,即使存在后续规则来定制信息。这可能会造成网络安全漏洞,因为数据包在正确的安全工具查看正确信息之前就已经被发送了。
