Assurer la sécurité des réseaux dans un environnement informatique en constante évolution et face à l'évolution constante des utilisateurs nécessite une gamme d'outils sophistiqués permettant d'effectuer des analyses en temps réel. Votre infrastructure de surveillance peut intégrer des outils de surveillance des performances réseau et applicatives (NPM/APM), des enregistreurs de données et des analyseurs de réseau traditionnels, tandis que vos systèmes de défense s'appuient sur des pare-feu, des systèmes de protection contre les intrusions (IPS), des systèmes de prévention des fuites de données (DLP), des antimalwares et d'autres solutions.
Peu importe le degré de spécialisation des outils de sécurité et de surveillance, ils ont tous deux choses en commun :
• Besoin de savoir exactement ce qui se passe sur le réseau
• Les résultats de l’analyse sont basés uniquement sur les données reçues
Une enquête menée par l'Enterprise Management Association (EMA) en 2016 a révélé que près de 30 % des personnes interrogées ne faisaient pas confiance à leurs outils pour recevoir toutes les données nécessaires. Cela signifie que le réseau présente des zones d'ombre en matière de surveillance, ce qui entraîne des efforts inutiles, des coûts excessifs et un risque accru de piratage.
La visibilité exige d'éviter les investissements inutiles et les angles morts en matière de surveillance du réseau, ce qui nécessite de collecter des données pertinentes sur tout ce qui se passe sur le réseau. Les répartiteurs et les ports miroirs des périphériques réseau, également appelés ports SPAN, deviennent les points d'accès utilisés pour capturer le trafic à des fins d'analyse.
Il s'agit d'une opération relativement simple ; le véritable défi consiste à transférer efficacement les données du réseau vers chaque outil qui en a besoin. Si vous ne disposez que de quelques segments de réseau et de relativement peu d'outils d'analyse, les deux peuvent être directement connectés. Cependant, compte tenu de la vitesse à laquelle les réseaux évoluent, même si cela est logiquement possible, il y a de fortes chances que cette connexion individuelle crée un véritable cauchemar de gestion.
L'EMA a indiqué que 35 % des entreprises citent le manque de ports et de répartiteurs SPAN comme principale raison de leur incapacité à surveiller pleinement leurs segments de réseau. Les ports des outils d'analyse haut de gamme, tels que les pare-feu, peuvent également être plus rares. Il est donc essentiel de ne pas surcharger vos équipements et de ne pas dégrader leurs performances.
Pourquoi avez-vous besoin de Network Packet Brokers ?
Le Network Packet Broker (NPB) est installé entre les ports séparateurs ou SPAN utilisés pour accéder aux données réseau, ainsi qu'aux outils de sécurité et de surveillance. Comme son nom l'indique, sa fonction principale est de coordonner les données des paquets réseau afin de garantir que chaque outil d'analyse obtienne précisément les données dont il a besoin.
NPB ajoute une couche d'intelligence de plus en plus critique qui réduit les coûts et la complexité, vous aidant à :
Pour obtenir des données plus complètes et plus précises pour une meilleure prise de décision
Le courtier de paquets réseau doté de capacités de filtrage avancées est utilisé pour fournir des données précises et efficaces pour vos outils de surveillance et d'analyse de sécurité.
Sécurité renforcée
Lorsqu'une menace est indétectable, il est difficile de l'arrêter. NPB est conçu pour garantir que les pare-feu, IPS et autres systèmes de défense ont toujours accès aux données exactes dont ils ont besoin.
Résoudre les problèmes plus rapidement
En réalité, la simple identification du problème représente 85 % du MTTR. Les temps d'arrêt sont synonymes de pertes financières, et une mauvaise gestion peut avoir des conséquences désastreuses sur votre entreprise.
Le filtrage contextuel fourni par NPB vous aide à découvrir et à déterminer plus rapidement la cause première des problèmes en introduisant une intelligence d'application avancée.
Augmenter l'initiative
Les métadonnées fournies par le NPB intelligent via NetFlow facilitent également l'accès aux données empiriques pour gérer l'utilisation de la bande passante, les tendances et la croissance afin d'éliminer le problème dans l'œuf.
Meilleur retour sur investissement
Smart NPB peut non seulement agréger le trafic provenant de points de surveillance tels que les commutateurs, mais aussi filtrer et rassembler les données pour optimiser l'utilisation et la productivité des outils de sécurité et de surveillance. En ne traitant que le trafic pertinent, nous pouvons améliorer les performances des outils, réduire la congestion, minimiser les faux positifs et optimiser la couverture de sécurité avec moins d'appareils.
Cinq façons d'améliorer le retour sur investissement avec les courtiers en paquets réseau :
• Dépannage plus rapide
• Détecter les vulnérabilités plus rapidement
• Réduire la charge des outils de sécurité
• Prolonger la durée de vie des outils de surveillance lors des mises à niveau
• Simplifier la conformité
Que peut faire exactement la NPB ?
L'agrégation, le filtrage et la diffusion des données semblent simples en théorie. Mais en réalité, un NPB intelligent peut exécuter des fonctions très complexes, générant des gains d'efficacité et de sécurité exponentiellement supérieurs.
L'équilibrage de charge du trafic est l'une de ses fonctions. Par exemple, si vous faites passer votre réseau de centre de données de 1 Gbit/s à 10 Gbit/s, 40 Gbit/s ou plus, le NPB peut ralentir pour allouer le trafic haut débit à un ensemble existant d'outils de surveillance analytique bas débit 1G ou 2G. Cela permet non seulement d'optimiser votre investissement actuel en matière de surveillance, mais aussi d'éviter des mises à niveau coûteuses lors de la migration informatique.
D'autres fonctionnalités puissantes exécutées par NPB incluent :
Les paquets de données redondants sont dédupliqués
Les outils d'analyse et de sécurité prennent en charge la réception d'un grand nombre de paquets dupliqués provenant de plusieurs séparateurs. NPB peut éliminer les doublons afin d'éviter tout gaspillage de puissance de traitement lors du traitement de données redondantes.
Décryptage SSL
Le chiffrement SSL (Secure Socket Layer) est la technique standard utilisée pour transmettre des informations privées en toute sécurité. Cependant, les pirates informatiques peuvent également dissimuler des cybermenaces malveillantes dans des paquets chiffrés.
L'examen de ces données doit être déchiffré, mais la décomposition du code requiert une puissance de traitement précieuse. Les principaux courtiers en paquets réseau peuvent décharger les outils de sécurité du déchiffrement afin de garantir une visibilité globale tout en réduisant la charge pesant sur les ressources coûteuses.
Masquage des données
Le déchiffrement SSL rend les données visibles à toute personne ayant accès aux outils de sécurité et de surveillance. La NPB peut bloquer les numéros de carte de crédit ou de sécurité sociale, les informations de santé protégées (ISP) ou autres informations personnelles sensibles avant de les transmettre, afin qu'elles ne soient pas divulguées à l'outil et à ses administrateurs.
Décapage de l'en-tête
NPB peut supprimer les en-têtes tels que VLAN, VXLAN et L3VPN, afin que les outils incapables de gérer ces protocoles puissent continuer à recevoir et traiter les données des paquets. La visibilité contextuelle permet de détecter les applications malveillantes exécutées sur le réseau et les traces laissées par les attaquants lorsqu'ils interviennent dans le système et le réseau.
Renseignements sur les applications et les menaces
La détection précoce des vulnérabilités réduit la perte d'informations sensibles et, in fine, les coûts liés aux vulnérabilités. La visibilité contextuelle offerte par NPB permet de détecter les indicateurs d'intrusion (IOC), d'identifier la géolocalisation des vecteurs d'attaque et de lutter contre les menaces cryptographiques.
L'intelligence applicative s'étend au-delà des couches 2 à 4 (modèle OSI) des données de paquets jusqu'à la couche 7 (couche application). Des données détaillées sur le comportement et la localisation des utilisateurs et des applications peuvent être créées et exportées afin de prévenir les attaques de la couche application où du code malveillant se fait passer pour des données normales et des requêtes client valides.
La visibilité contextuelle permet de découvrir les applications malveillantes exécutées sur votre réseau et les empreintes laissées par les attaquants lorsqu'ils travaillent sur votre système et votre réseau.
Surveillance des applications
La visibilité de la perception des applications a également un impact profond sur la performance et la gestion. Vous souhaitez peut-être savoir quand des employés ont utilisé des services cloud comme Dropbox ou des messageries web pour contourner les politiques de sécurité et transférer des fichiers de l'entreprise, ou quand d'anciens employés ont tenté d'accéder à des fichiers via des services de stockage personnel cloud.
Les avantages du NPB
• Facile à utiliser et à gérer
• L'intelligence pour alléger les charges de l'équipe
• Aucune perte de paquets - exécute des fonctionnalités avancées
• 100% de fiabilité
• Architecture haute performance
Date de publication : 20 janvier 2025
