Garantire la resilienza delle prestazioni con la deduplicazione

La resilienza delle prestazioni è la capacità di garantire le prestazioni del vostro dispositivo commerciale o artigianale in qualsiasi ambiente di data center. In altre parole, per garantire che il vostro dispositivo di monitoraggio delle prestazioni, sicurezza informatica o analisi forense sia resiliente ai problemi comuni dei data center, come una configurazione non corretta. networks, impossibilità di specificare il tipo di connessione desiderato, la sincronizzazione oraria, l'alimentazione, lo spazio, ecc.

In questo blog esamineremo la deduplicazione e come il supporto della deduplicazione nel tuo SmartNIC garantisca la resilienza delle prestazioni quando gli ambienti dei data center non sono configurati correttamente, in particolare le porte SPAN di router e switch.

Assumi il peggio

Quando si progetta un apparecchio per analizzare network Quando si tratta di dati per il monitoraggio delle prestazioni, la sicurezza informatica o l'analisi forense, è naturale presumere che gli ambienti in cui verrà implementato il dispositivo siano configurati correttamente e rispettino le best practice. È anche lecito presumere di poter ottenere l'accesso e la connettività necessari. Perché qualcuno dovrebbe prendersi la briga di acquistare un dispositivo commerciale o addirittura finanziare lo sviluppo di un dispositivo internamente, se non si assicura anche che l'ambiente soddisfi i requisiti minimi?

Purtroppo, non è sempre così, come molti esperti di installazione di appliance vi diranno. Questo perché il team responsabile dell'implementazione dell'appliance non è sempre lo stesso team responsabile della gestione del data center. Le appliance non sono la loro priorità assoluta. Quindi, in pratica, al team che implementa l'appliance viene chiesto di installarla in una posizione specifica con una connettività specifica, e questo è tutto. Potresti preferire utilizzare un TAP, ma potrebbe non essere disponibile, quindi è necessario utilizzare una porta SPAN (Switched Port Analyzer) da uno switch o router per accedere a network dati.

Anche se questo può sembrare accettabile, può portare a comportamenti inaspettati e indesiderati, responsabili della comparsa di quei capelli grigi sulla testa dei veterani! Un esempio di questo comportamento indesiderato è la duplicazione. network pacchetti.

Come si verificano i pacchetti duplicati?

Idealmente, quando si esegue network Monitoraggio e analisi: si desidera utilizzare un tap per accedere direttamente ai dati reali in tempo reale. Tuttavia, come abbiamo detto sopra, non è sempre possibile imporre questa possibilità e a volte è necessario accontentarsi della connettività a una porta SPAN.

La differenza tra un tap e una porta SPAN è che il tap è un dispositivo fisico installato al centro del collegamento di comunicazione, in modo che tutto il traffico passi attraverso il tap e venga copiato sull'appliance. Al contrario, una porta SPAN su uno switch o un router riceve copie di tutti i dati che passano attraverso lo switch, che possono quindi essere resi disponibili all'appliance tramite la porta SPAN.

Se configurata correttamente, una porta SPAN funziona perfettamente. I router e gli switch moderni sono migliorati nel garantire l'affidabilità dei dati forniti dalle porte SPAN. Tuttavia, le porte SPAN possono essere configurate in modo da generare pacchetti duplicati. In alcuni casi, in cui le porte SPAN non sono configurate correttamente, fino al 50% dei pacchetti forniti dalla porta SPAN può essere duplicato.

Come avviene tutto questo? Per quanto riguarda le porte SPAN, è importante capire che quando un pacchetto entra nello switch su una porta di ingresso, ne viene creata una copia, mentre quando esce dallo switch su una porta di uscita, ne viene creata un'altra. In questo caso, i duplicati sono inevitabili. È tuttavia possibile configurare lo SPAN in modo che crei copie solo in ingresso o in uscita dallo switch, evitando così la formazione di duplicati.

Tuttavia, non è raro arrivare in un data center in cui le porte SPAN sono configurate in modo errato e nessuno ha il permesso di modificare la configurazione dello switch o del router. In altre parole, ci saranno dei duplicati e non dovrete far altro che conviverci!

Qual è l'impatto dei duplicati?

I duplicati possono causare molti problemi. Il problema ovvio è che raddoppiare la quantità di dati richiede il doppio della potenza di elaborazione, della memoria, dell'alimentazione, ecc. Tuttavia, il problema principale sono i falsi positivi: errori che non sono realmente errori o minacce che non sono realmente minacce. Un modo comune in cui i duplicati influenzano l'analisi è l'aumento degli avvisi di TCP fuori ordine o di ritrasmissione. Il debug di questi problemi richiede molto tempo, di solito tempo che un sistema oberato di lavoro e con personale insufficiente... network Il team operativo o di sicurezza non ne è a conoscenza. Inoltre, qualsiasi analisi effettuata sulla base di queste informazioni probabilmente non è affidabile, il che non fa che aggravare il problema.

Come raggiungere la resilienza

Grazie alla deduplicazione integrata tramite una SmartNIC nell'appliance, è possibile rilevare fino al 99.99% dei pacchetti duplicati prodotti dalle porte SPAN. Funzionalità simili sono disponibili sui broker di pacchetti, ma a un costo di licenza aggiuntivo considerevole. Sulle SmartNIC Napatech, questa è solo una delle numerose potenti funzionalità offerte senza costi aggiuntivi.

La soluzione è ideale per le situazioni in cui l'appliance è collegata direttamente a una porta SPAN, riducendo drasticamente la quantità di danni che i duplicati possono causare. Ma significa anche che l'appliance è resistente a qualsiasi configurazione errata di SPAN o ad altri network problemi architettonici che possono dare origine a duplicati, senza affidarsi ad altre soluzioni costose, come i broker di pacchetti, per fornire le funzionalità necessarie a completare la soluzione.