云安全难点解题:云流量采集分析的各种姿势
2024-4-8 16:3:14 Author: mp.weixin.qq.com(查看原文) 阅读量:10 收藏

日益庞大的云上业务量之下

是更加复杂的云内网络架构

云环境下的网络流量

存在于网络虚拟化技术所构建的

逻辑网络中

无法仅靠传统的流量采集方式

进行全面展现

无疑给网络安全监控

网络异常分析以及网络回溯取证

带来了极大挑战

传统网络中,流量采集依赖交换机镜像旁路抓取内部网络和应用之间的通信数据。随着云化环境的普及,微服务的分散部署促使内部流量的剧增并降低了可见性。加之不同云平台的采集、过滤、分发机制也各有差异,使得流量采集与分析愈发困难,急需一套成熟完整的采集分析一体化解决方案。

01

多场景下的云流量采集方案

云环境和复杂场景流量汇聚全掌握

斗象PRS配备了高性能全流量主机探针(Agent),灵活适应各类型云环境的多维部署需求。该系统通过精准对接客户云平台及监控平台并运用过VXLAN,GRE等技术手段,实现了虚拟网络流量的按需抓取、集中存储和高效分发。 

公有云环境: 部署微探针Agent作为云主机内的一个独立进程或集成至云管理平台作为容器节点,以实现对网络流量的实时检测。

私有云环境: 不仅具备公有云同样的采集能力,更可通过SDN Switch交换机旁路探针技术,智能引导网络流量,进一步增强数据采集效率。

裸金属环境:通过物理交换机的流量镜像功能,将网络流量实时镜像给PRS,实现全面监控。

混合云环境:结合Agent探针和SDN引流等技术,充分发挥软件定义网络(SDN)的技术优势,能够定向引流特定的网络流量到斗象PRS平台。

斗象PRS通过多场景采集部署,汇聚了来自不同源头的网络流量,解决客户在多元资源池中面临的流量采集难题。

值得一提的是,PRS在获取东西向流量方面表现出色,其独特的分布式预处理能力支持数据包在流量高峰时段“错峰处理”,同时具备解耦采集与分析终端的能力,免除了多探针重复安装与绑定的繁琐。此外,斗象PRS还兼容物理网络与池内网络,能高效管理高达十万级别的采集器集群,有效解决了流量采集汇聚难题。

02

云上海量全流量统一管理方案

超高性能+分阶段部署,流量再多也不怕

在云环境中,网络规模庞大、资源池多样,需要制定涵盖多个数据中心的整体采集策略,以避免零散布设探针所带来的重复建设和分散管理问题。

在设计云环境整体流量采集解决方案的过程中,斗象PRS交付团队高度重视业务的实际分布情况,包括链路结构、不同区域及各类资源池配置的全方位业务场景。在客户实际落地案例中,采集平台大多通过分阶段的方式进行规划与部署,确保平台既可随着业务的发展按需逐步扩展,又能实现集中、统一的高效管理模式。

斗象PRS分析平台拥有强大的数据存算能力,可达到每秒100Gbps的处理性能,这一核心优势使它能在复杂的云环境中迅速捕捉并精确解析大量网络数据,有效地满足大规模、高速率、全流量的监控和存储分析需求,大大提升了云环境流量采集与一体化综合管理的整体效率和响应速度。

03

高兼容适配性

成熟稳定的探针管理方案

数万台云主机,不同类型云平台数万个采集节点精细统筹管理

云环境中,虚拟交换机数量通常与计算节点数量相当,远超物理链路采集点,带来采集挑战。同时,虚拟化及容器资源具有高动态性,使得流量采集和分发策略必须能快速适应资源的迁移、切换和回收。稳定、灵活的管理控制能力是评价流量管理方案的关键指标。

斗象PRS通过MQTT协议,高效、低延迟的通信机制,使得控制器能够实时连接并管理数万台Agent云主机,从而实现对20多种不同类型云平台的无缝对接和采集器的精细化管理

通过实时向各个Agent下发控制指令,斗象PRS能够精确掌握并同步任务管理状态信息,即时捕捉到虚拟机、容器等资源的任何动态变化,使采集器具备智能跟随、自动调整采集策略和范围的能力。这一特征,足以支持高达10万个采集点的规模化统一管理和监控,有效提升了大规模云环境下的流量采集和数据分析效能。

04

无侵入运行与过载保护方案

流量采集与业务环境稳定运行兼顾

传统网络流量采集情境中,采集器/Agent会与业务深度绑定,当出现CPU、内存、网络带宽、磁盘空间等资源耗尽的情况时,极易触发业务中断或崩溃。安全管理员难以识别哪些非核心业务侵占了云主机资源,而可控的资源池对于业务的稳定运转至关重要。

斗象PRS微探针/Agent采用无侵入的部署方式,能严格控制CPU、内存等资源的使用率一旦负载超过预定阈值,系统会自动触发告警,有效避免了因过载导致业务中断或崩溃带来的损失,保障云上业务稳定运行。

05

解题总结和加分方案

斗象PRS全流量安全计算分析平台,通过多场景采集部署、精细化探针管理、无侵入运行与过载保护、全流量统一安全分析等能力,完美应对复杂云环境中的流量采集挑战,出色地解决了云流量的大规模控制难题。

此外,客户还可以依此进一步构建“云端主动防御”加分方案,如通过联动斗象PVP云蜜罐,在流量监控预警后巧妙诱导攻击者步入预设的云端蜜网陷阱之中,为后续深入追溯分析及安全响应措施提供强有力的支持。

END


文章来源: https://mp.weixin.qq.com/s?__biz=MzIwMjcyNzA5Mw==&mid=2247494702&idx=1&sn=2c32b25f6e9acd19e7f71e6e0f03187f&chksm=96d8e7f4a1af6ee20358e5dc6852750013e6fd3a86df080a92ba9e368a06694d39d996fcb45f&scene=58&subscene=0#rd
如有侵权请联系:admin#unsafe.sh