摘要：投資回報率(ROI)往往是當今的企業(yè)組織在作出一項新技術的采購決策時所考慮的一個重要因素。然而，鑒于企業(yè)組織已經(jīng)在許多安全和監(jiān)控工具方面進行了大量的投資，您是否考慮過怎樣的方法才是有助于您企業(yè)最大限度地提高這些相關工具價值的最好方法呢?

投資回報率(ROI)往往是當今的企業(yè)組織在作出一項新技術的采購決策時所考慮的一個重要因素。然而，鑒于企業(yè)組織已經(jīng)在許多安全和監(jiān)控工具方面進行了大量的投資，您是否考慮過怎樣的方法才是有助于您企業(yè)最大限度地提高這些相關工具價值的最好方法呢?避免新工具的采購成本是企業(yè)IT可以用來最大限度地提高這一投資回報率，并使得您企業(yè)的安全和監(jiān)測解決方案變得更強大的一種方法。

從您企業(yè)的工具投資中獲得更多的價值

一種方法是對于工具的實際使用超出其所規(guī)定的適用壽命年限。而另一種方法則是對于工具的使用和訪問制定一套嚴格的限制，從而創(chuàng)造了其自己的低效率。第三種方法是通過部署可視化的架構來跨您企業(yè)的整個監(jiān)控工具優(yōu)化數(shù)據(jù)流。最后的一種選擇方法可以讓您企業(yè)從架構體系的變化和增加的采購中實現(xiàn)效率和性能優(yōu)勢，其可以大大提高工具的使用壽命，進而幫助提升您企業(yè)監(jiān)控和安全工具的投資回報率。

理解消除成本和避免成本之間的差異是非常重要的。成本消除意味著您企業(yè)決定不進行采購。這顯然具有一個明顯的經(jīng)濟益處——沒有預算成本費用。然而，隨著科技發(fā)展的日新月異，一款設備的可用壽命只有三年或更少的時間已經(jīng)成為一種常態(tài)。因此，成本的消除可能幫助您企業(yè)節(jié)省了前期的預付款，但從長遠來看，最終可能會導致您企業(yè)需要耗費3到4倍更多的成本費用來為成本代價高昂的網(wǎng)絡停機時間買單、雇傭3倍高薪的工程師來應付救火的機會成本，更長的平均修復時間，流程效率低下，面對客戶的QoS和QoE問題，以及大規(guī)模的違規(guī)成本的增加。

而避免成本則是不同的，其側重于大規(guī)模采購的延遲，但不能消除。本質(zhì)上，其是關于延長企業(yè)組織現(xiàn)有設備的使用壽命——通常通過添加更小的設備采購，以延長設備的使用周期。

例如，貴公司可以以20萬美元的單價采購六款監(jiān)控工具或斥資120萬美元采購安全工具?；蛘?，貴公司也可以采購具備等效容量的三款監(jiān)測工具，以及一款5萬美元的網(wǎng)絡包代理設備(network packet broker，NPB)到負載平衡，總價為65萬美元。在這種情況下，使用一個網(wǎng)絡包代理設備到負載平衡可以幫助您企業(yè)節(jié)省55萬美元。更妙的是，如果您企業(yè)有任何3款工具是預先已經(jīng)存在的，那么，包代理允許您企業(yè)繼續(xù)使用現(xiàn)有的工具較長一段時間。

監(jiān)測工具的挑戰(zhàn)

當涉及到從其監(jiān)控工具中獲得價值最大化時，現(xiàn)代企業(yè)網(wǎng)絡通常會面臨四大常見的問題。其中包括：

·只獲得每款監(jiān)控工具的恰當?shù)臄?shù)據(jù)

·管理監(jiān)控工具的成本

·確保監(jiān)測工具的功能匹配網(wǎng)絡技術的變化

·維持最佳的網(wǎng)絡安全

以恰當?shù)墓ぞ攉@得恰當?shù)臄?shù)據(jù)，是具有挑戰(zhàn)性的，因為不同的工具需要不同類型的數(shù)據(jù)。有的需要數(shù)據(jù)包數(shù)據(jù)，而另一些則需要NetFlow數(shù)據(jù)。此外，一些企業(yè)組織仍然使用SPAN端口將數(shù)據(jù)提供給該工具。隨著網(wǎng)絡的發(fā)展，SPAN端口短缺的情況經(jīng)常發(fā)生，造成坐未使用的工具。另一個問題是，如果網(wǎng)卡(tap)被用來直接供給監(jiān)控工具，那么當太多的網(wǎng)卡在再生器之間被使用時，會造成信號衰減的問題。

虛擬數(shù)據(jù)中心帶來了另一個重要的障礙，因為高達80%的虛擬流量是東西走向的流量。東西流量從來沒有達到機架的頂部，而在機架頂部，其可以被物理網(wǎng)卡捕獲，而SPAN端口則意味著，所有的流量位于一個網(wǎng)絡盲點。這可能會導致安全性和監(jiān)管合規(guī)性的問題，可以很容易地通過添加虛擬網(wǎng)卡到您企業(yè)的物理網(wǎng)卡架構來解決。

鑒于監(jiān)測工具可以變得非常昂貴，控制工具的成本是另一個常見的 問題。如果存在太多您企業(yè)需要收集數(shù)據(jù)并插入工具的環(huán)節(jié)(包括物理和虛擬)，尤其如此。有些工程師會為特定的環(huán)節(jié)使用專用的工具，這無疑增加了所需工具的數(shù)量。由于您企業(yè)的架構設計，用不了多久，您企業(yè)就會有大量未充分利用的(即不必要的)工具。

對于監(jiān)控工具而言，網(wǎng)絡流量的增加是另一個非常普遍的問題。例如，如果您企業(yè)將網(wǎng)絡核心從1 GE升級到10GE，那么，貴公司現(xiàn)在將需要10GE的監(jiān)控工具以配合進行網(wǎng)絡監(jiān)控。而如果升級到40 GE或100GE，可能只有極少數(shù)的企業(yè)組織在這樣的數(shù)據(jù)速率情況下不使用監(jiān)控工具的，而在這些數(shù)據(jù)速率情況下的可用的工具則是非常昂貴的。

此外，每次當網(wǎng)絡技術發(fā)生的變化時，為了使得工具具有互操作性，其也需要重新分析和修改。例如，如果您企業(yè)執(zhí)行了加密、VLAN標簽、防火墻和IPS功能，那么貴公司將需要對工具進行數(shù)據(jù)過濾方面的程序化改變。研發(fā)新的、用于特殊目的的工具也可能是必需的。

保持對于網(wǎng)絡安全的最佳監(jiān)控也是一項挑戰(zhàn)。舉例而言，您企業(yè)可能想要通過實現(xiàn)您企業(yè)安全工具的高可用性，確保在某款工具發(fā)生故障中斷的情況下，也能實現(xiàn)順利切換來提高您的安全防御。還可能需要利用不同的工具來分析相同的數(shù)據(jù)。而如若缺乏恰當?shù)臄?shù)據(jù)分析架構，該數(shù)據(jù)的串行鏈往往是相當困難的。串行數(shù)據(jù)鏈需要采用不同的工具來依次分析可疑/惡意流量。數(shù)據(jù)屏蔽則是另一種常見的 合規(guī)性要求的案例情況，對諸如信用卡信息和社會保險號等敏感的和個人身份數(shù)據(jù)信息。這些數(shù)據(jù)屏蔽功能需要在數(shù)據(jù)到達監(jiān)測工具之前被應用，以保持監(jiān)管合規(guī)性。

解決方案是什么?

解決這些問題的最具成本效益的解決方案是將一款可視化的架構納入到您企業(yè)的網(wǎng)絡設計方案之中。這有助于通過確保當您需要時對于您所需要的數(shù)據(jù)的正確訪問，來最大限度地提高監(jiān)控效率。

一個設計良好的可視性架構可以做到以下幾點：

·提高監(jiān)控工具的利用率和使用壽命

- 通過濾除不必要的流量到監(jiān)控工具

- 通過集中監(jiān)控工具，而不是將它們專門用于特定的網(wǎng)絡鏈接

·提高監(jiān)控工具的效率

- 通過將非核心功能卸載到網(wǎng)絡包代理設備

·提高監(jiān)控利用率

- 通過整合虛擬和物理數(shù)據(jù)中心的監(jiān)控策略

·提高監(jiān)測效能

- 通過利用諸如串行數(shù)據(jù)鏈和高可用性等功能

所有這些功能有助于最大限度地發(fā)揮您企業(yè)現(xiàn)有監(jiān)控工具的價值。一款可視化架構的常見組件包括網(wǎng)卡、包代理設備、應用程序智能和監(jiān)控工具本身。下圖1展示出了部署可視化架構的一個例子。

獲得所有這些益處的代價既不復雜也不昂貴。其涉及到增加兩個特定的技術部分：

·關鍵數(shù)據(jù)訪問位置的網(wǎng)卡

·網(wǎng)絡包代理設備

有不同類型的網(wǎng)卡和網(wǎng)絡訪問(外帶網(wǎng)卡，內(nèi)置旁路開關和虛擬網(wǎng)卡)，分別被用于不同的案例情況。帶外網(wǎng)卡是最常見的。這類網(wǎng)卡對在這一點上通過網(wǎng)絡的數(shù)據(jù)(包括好的和壞的數(shù)據(jù)包)進行一個完整的復制。然后，數(shù)據(jù)被發(fā)送到可視化架構的其他組件以進行處理。這種類型的網(wǎng)卡可以用來取代 SPAN端口，而且能夠帶來諸多的益處。例如，網(wǎng)卡是一個“簡單設置后就可以放下不管的一勞永逸”類型的設備。因此，沒有編程的需要，這意味著對于大多數(shù)網(wǎng)絡的變化而言，重新編程是沒有必要的。網(wǎng)卡的價格點是符合成本效益的，每個端口大約600美元，這意味著他們可以在遷移網(wǎng)絡廣泛安裝，特別是在SPAN端口不可用的地方。

內(nèi)嵌的安全工具網(wǎng)絡訪問是通過使用旁路開關，而不是一個標準的網(wǎng)卡來實現(xiàn)的。在這種情況下，沒有一個數(shù)據(jù)的副本。原始的數(shù)據(jù)實際上是被轉移到一款內(nèi)嵌工具，借助該工具進行分析，如果其是安全的，然后返回到網(wǎng)絡以繼續(xù)到達其目的地。旁路開關已經(jīng)將故障轉移和Heartbeat Message集成到了其所連接的設備。這使得它可以用于高耐受性和高可用性的解決方案。

一個虛擬網(wǎng)卡類似于外帶網(wǎng)卡，除了其軟件是部署在虛擬環(huán)境中的，如VMware和KVM。虛擬網(wǎng)卡可以看到所有虛擬機內(nèi)部和之間的流量，并在虛擬數(shù)據(jù)中心之外轉發(fā)數(shù)據(jù)。

　　圖1：可見化架構示例

在您企業(yè)的可視化架構中所安裝的網(wǎng)卡和旁路開關將把監(jiān)測數(shù)據(jù)發(fā)送到一個中心集合點，其被稱為網(wǎng)絡數(shù)據(jù)包代理，用于聚合、過濾、負載平衡和數(shù)據(jù)包處理。由于來自于網(wǎng)卡的數(shù)據(jù)是所有數(shù)據(jù)的一個完整的副本，故而在被發(fā)送到適當?shù)谋O(jiān)測工具之前，其中某些數(shù)據(jù)需要過濾。其他功能，如重復數(shù)據(jù)刪除、數(shù)據(jù)包分割、時間戳、數(shù)據(jù)屏蔽等，可以根據(jù)實際需要應用到數(shù)據(jù)。這些功能使得監(jiān)控工具的效率更高，這意味著他們可以比沒有數(shù)據(jù)包代理處理更多的數(shù)據(jù)。一個典型的經(jīng)驗法則是，一旦這些功能被卸載到一個帶外的網(wǎng)絡包代理設備，該工具的效率可以提高60%。

此外，數(shù)據(jù)包代理提供聚集和負載均衡的信息到適當?shù)谋O(jiān)控工具。這也使得工具更有效，可以在短期內(nèi)為您企業(yè)節(jié)省資金。例如，負載平衡可以讓您根據(jù)需要在多款工具之間傳播監(jiān)控流量。這種情況的一個使用案例是采取更快的10 GE流量，并跨多款1 GE的工具傳播該流量，假設您企業(yè)有足夠多的1 GE工具用于負載的話。這可以讓您企業(yè)稍微延長1 GE工具的使用壽命，直到您企業(yè)有足夠的預算購買更昂貴的工具以處理更高的數(shù)據(jù)速率。另一個使用案例是從利用內(nèi)聯(lián)工具(如一個IPS)的檢驗中使用數(shù)據(jù)包代理移除低安全威脅數(shù)據(jù)(如Net ix、Hulu和YouTube)。該數(shù)據(jù)包代理只是簡單地將這種類型的數(shù)據(jù)路由到旁路開關，這樣它就可以繼續(xù)到達網(wǎng)絡中了。檢查去除不必要的數(shù)據(jù)可以為一個IPS節(jié)省高達35%的工作量。這使得這些工具更有效，并能節(jié)省您的投資。

情報服務提供了一個額外的數(shù)據(jù)監(jiān)控和處理水平。這方面的例子包括在應用程序?qū)拥倪^濾、NetFlow數(shù)據(jù)的生成、SSL解密、用戶和設備地理位置信息的生成和捕獲瀏覽器信息。這些功能特征讓您企業(yè)能夠通過讓他們專注于自己的核心功能(如，不在解密上耗費CPU資源)，并以最適合工具的形式接收信息(數(shù)據(jù)包或NetFlow)來延長現(xiàn)有的監(jiān)測工具的使用壽命。

結論

通過恰當?shù)臉嫿梢曅缘募軜嬆軌蛴兄谄髽I(yè)組織在短期和長期運行過程中都可以節(jié)省資金。啟用您的工具所有的處理能力，使他們能夠為您企業(yè)服務更長的時間。一款良好的可視性架構使您企業(yè)的應用程序和安全性能夠變得更強大。其還提供了以下所有的好處：

·通過整合數(shù)據(jù)流，并將其發(fā)送給相應的工具來降低工具成本

·使用網(wǎng)絡數(shù)據(jù)包代理到負載均衡更高的數(shù)據(jù)速率流量，跨較低的數(shù)據(jù)速率工具，以在網(wǎng)絡升級中延遲工具升級成本費用

·為適量的流量匹配適量的工具，以控制成本

·如果高速率工具不可用或成本過高的話，使用網(wǎng)絡數(shù)據(jù)包代理，以利用較低的數(shù)據(jù)速率工具適應更高的數(shù)據(jù)速率流量

·通過插入網(wǎng)卡和使用網(wǎng)絡數(shù)據(jù)包代理GUI來簡單地減少您的工具(和SPAN)端口編程/重新編程的成本和工作精力

·通過使用NPB過濾，重復數(shù)據(jù)刪除和數(shù)據(jù)包增加可以幫助您提高外帶工具的效率高達60%

·使用NPB過濾，增加您企業(yè)內(nèi)嵌工具的效率高達35%

·使內(nèi)嵌工具的串行數(shù)據(jù)鏈和高可用性成為可能

欲了解更多關于如何輕松地消除可視化和安全盲點，并借助Ixia公司的可視化解決方案和IxVision可視化架構來幫助您企業(yè)延長監(jiān)控工具的使用壽命的信息，請訪問：http://www.ixiacom.com/solutions/visibility。