การแนะนำ
การรวบรวมและวิเคราะห์ปริมาณการรับส่งข้อมูลเครือข่ายเป็นวิธีการที่มีประสิทธิภาพที่สุดในการได้มาซึ่งตัวชี้วัดและพารามิเตอร์พฤติกรรมผู้ใช้เครือข่ายโดยตรง ด้วยการพัฒนาอย่างต่อเนื่องของการดำเนินงานและการบำรุงรักษาศูนย์ข้อมูล การรวบรวมและวิเคราะห์ปริมาณการรับส่งข้อมูลเครือข่ายจึงกลายเป็นส่วนสำคัญที่ขาดไม่ได้ของโครงสร้างพื้นฐานของศูนย์ข้อมูล จากการใช้งานในอุตสาหกรรมปัจจุบัน การรวบรวมปริมาณการรับส่งข้อมูลเครือข่ายส่วนใหญ่ทำได้โดยอุปกรณ์เครือข่ายที่รองรับการจำลองการรับส่งข้อมูลแบบบายพาส การรวบรวมปริมาณการรับส่งข้อมูลจำเป็นต้องสร้างเครือข่ายการรวบรวมปริมาณการรับส่งข้อมูลที่ครอบคลุม เหมาะสม และมีประสิทธิภาพ การรวบรวมปริมาณการรับส่งข้อมูลดังกล่าวสามารถช่วยเพิ่มประสิทธิภาพเครือข่ายและตัวชี้วัดประสิทธิภาพทางธุรกิจ และลดโอกาสที่จะเกิดความล้มเหลว
เครือข่ายรวบรวมข้อมูลการจราจรสามารถมองได้ว่าเป็นเครือข่ายอิสระที่ประกอบด้วยอุปกรณ์รวบรวมข้อมูลการจราจรและติดตั้งควบคู่ไปกับเครือข่ายการผลิต โดยจะรวบรวมข้อมูลการจราจรภาพของอุปกรณ์เครือข่ายแต่ละตัวและรวมข้อมูลการจราจรภาพตามระดับภูมิภาคและสถาปัตยกรรม โดยใช้ระบบแจ้งเตือนการแลกเปลี่ยนและกรองข้อมูลในอุปกรณ์รวบรวมข้อมูลเพื่อทำการกรองข้อมูลแบบมีเงื่อนไข 2-4 ระดับด้วยความเร็วสูงสุด รวมถึงการลบแพ็กเก็ตซ้ำ การตัดแพ็กเก็ต และการดำเนินการขั้นสูงอื่นๆ จากนั้นจึงส่งข้อมูลไปยังระบบวิเคราะห์การจราจรแต่ละระบบ เครือข่ายรวบรวมข้อมูลการจราจรสามารถส่งข้อมูลเฉพาะไปยังอุปกรณ์แต่ละตัวได้อย่างแม่นยำตามความต้องการข้อมูลของแต่ละระบบ และแก้ปัญหาที่การส่งข้อมูลแบบเดิมไม่สามารถกรองและส่งต่อได้ ซึ่งทำให้สิ้นเปลืองประสิทธิภาพการประมวลผลของสวิตช์เครือข่าย ในขณะเดียวกัน เครื่องมือการกรองและแลกเปลี่ยนข้อมูลของเครือข่ายรวบรวมข้อมูลการจราจรจะทำการกรองและส่งต่อข้อมูลด้วยความหน่วงต่ำและความเร็วสูง รับประกันคุณภาพของข้อมูลที่รวบรวมโดยเครือข่ายรวบรวมข้อมูลการจราจร และเป็นพื้นฐานข้อมูลที่ดีสำหรับอุปกรณ์วิเคราะห์การจราจรในขั้นตอนต่อไป
เพื่อลดผลกระทบต่อลิงก์เดิม โดยปกติแล้วจะมีการสร้างสำเนาของข้อมูลเดิมโดยใช้วิธีการแยกบีม (beam splitting), SPAN หรือ TAP
อุปกรณ์แยกสัญญาณเครือข่ายแบบพาสซีฟ (ตัวแยกสัญญาณแสง)
วิธีการใช้การแยกแสงเพื่อรับสำเนาข้อมูลนั้น จำเป็นต้องใช้อุปกรณ์แยกแสง อุปกรณ์แยกแสงเป็นอุปกรณ์ออปติคอลแบบพาสซีฟที่สามารถกระจายความเข้มของพลังงานของสัญญาณออปติคอลตามสัดส่วนที่ต้องการได้ อุปกรณ์แยกแสงสามารถแบ่งแสงได้ 1 ต่อ 2, 1 ต่อ 4 และ 1 ต่อหลายช่องสัญญาณ เพื่อลดผลกระทบต่อลิงก์เดิม ศูนย์ข้อมูลมักใช้สัดส่วนการแยกแสงที่ 80:20 หรือ 70:30 โดยที่สัดส่วน 70 และ 80 ของสัญญาณออปติคอลจะถูกส่งกลับไปยังลิงก์เดิม ปัจจุบัน อุปกรณ์แยกแสงถูกนำมาใช้กันอย่างแพร่หลายในการวิเคราะห์ประสิทธิภาพเครือข่าย (NPM/APM) ระบบตรวจสอบ การวิเคราะห์พฤติกรรมผู้ใช้ การตรวจจับการบุกรุกเครือข่าย และสถานการณ์อื่นๆ
ข้อดี:
1. อุปกรณ์ออปติคอลแบบพาสซีฟที่มีความน่าเชื่อถือสูง
2. ไม่กินพื้นที่พอร์ตสวิตช์ เป็นอุปกรณ์อิสระ สามารถต่อขยายเพิ่มเติมได้ในภายหลัง
3. ไม่จำเป็นต้องแก้ไขการตั้งค่าสวิตช์ และไม่มีผลกระทบต่ออุปกรณ์อื่นๆ
4. การรวบรวมข้อมูลการรับส่งทั้งหมด โดยไม่มีการกรองแพ็กเก็ตผ่านสวิตช์ รวมถึงแพ็กเก็ตแสดงข้อผิดพลาด ฯลฯ
ข้อเสีย:
1. ความจำเป็นในการเปลี่ยนถ่ายเครือข่ายอย่างง่าย การเสียบสายไฟเบอร์ของลิงก์หลัก และการปรับไปยังตัวแยกสัญญาณแสง จะลดกำลังแสงของลิงก์หลักบางส่วนลง
SPAN (Port Mirror)
SPAN เป็นฟีเจอร์ที่มีมาให้ในตัวสวิตช์อยู่แล้ว ดังนั้นจึงเพียงแค่ต้องตั้งค่าบนสวิตช์เท่านั้น อย่างไรก็ตาม ฟังก์ชันนี้จะส่งผลกระทบต่อประสิทธิภาพของสวิตช์และทำให้เกิดการสูญหายของแพ็กเก็ตเมื่อปริมาณข้อมูลมากเกินไป
ข้อดี:
1. ไม่จำเป็นต้องเพิ่มอุปกรณ์เพิ่มเติม เพียงแค่ตั้งค่าสวิตช์เพื่อเพิ่มพอร์ตเอาต์พุตการจำลองภาพที่เกี่ยวข้อง
ข้อเสีย:
1. เสียบสวิตช์เข้ากับพอร์ต
2. ต้องมีการตั้งค่าสวิตช์ ซึ่งเกี่ยวข้องกับการประสานงานร่วมกับผู้ผลิตภายนอก ทำให้มีความเสี่ยงสูงที่จะเกิดความล้มเหลวของเครือข่าย
3. การจำลองการรับส่งข้อมูลแบบมิเรอร์ส่งผลกระทบต่อประสิทธิภาพของพอร์ตและสวิตช์
เครือข่าย TAP ที่ใช้งานอยู่ (ตัวรวม TAP)
อุปกรณ์ Network TAP เป็นอุปกรณ์เครือข่ายภายนอกที่ช่วยให้สามารถทำ Port Mirroring และสร้างสำเนาของข้อมูลการรับส่งเพื่อนำไปใช้โดยอุปกรณ์ตรวจสอบต่างๆ อุปกรณ์เหล่านี้จะถูกติดตั้งในจุดที่ต้องการตรวจสอบในเครือข่าย และจะคัดลอกแพ็กเก็ตข้อมูล IP แล้วส่งไปยังเครื่องมือตรวจสอบเครือข่าย การเลือกจุดเชื่อมต่อสำหรับอุปกรณ์ Network TAP ขึ้นอยู่กับจุดประสงค์ของการตรวจสอบข้อมูลในเครือข่าย เช่น การรวบรวมข้อมูล การตรวจสอบวิเคราะห์ความล่าช้าเป็นประจำ การตรวจจับการบุกรุก เป็นต้น อุปกรณ์ Network TAP สามารถรวบรวมและทำสำเนาข้อมูลได้ในอัตรา 1G ถึง 100G
อุปกรณ์เหล่านี้เข้าถึงข้อมูลโดยที่อุปกรณ์ TAP ของเครือข่ายไม่เปลี่ยนแปลงการไหลของแพ็กเก็ตแต่อย่างใด ไม่ว่าอัตราการรับส่งข้อมูลจะเป็นเท่าใดก็ตาม ซึ่งหมายความว่าข้อมูลเครือข่ายจะไม่ถูกตรวจสอบและไม่เกิดการทำมิเรอร์พอร์ต ซึ่งเป็นสิ่งสำคัญสำหรับการรักษาความสมบูรณ์ของข้อมูลเมื่อส่งต่อไปยังเครื่องมือรักษาความปลอดภัยและการวิเคราะห์
ระบบนี้ช่วยให้มั่นใจได้ว่าอุปกรณ์ต่อพ่วงเครือข่ายจะตรวจสอบสำเนาการรับส่งข้อมูล เพื่อให้อุปกรณ์ TAP เครือข่ายทำหน้าที่เป็นผู้สังเกตการณ์ การส่งสำเนาข้อมูลของคุณไปยังอุปกรณ์ที่เชื่อมต่อทั้งหมด จะทำให้คุณมองเห็นภาพรวมของเครือข่ายได้อย่างสมบูรณ์ ในกรณีที่อุปกรณ์ TAP เครือข่ายหรืออุปกรณ์ตรวจสอบล้มเหลว คุณจะมั่นใจได้ว่าการรับส่งข้อมูลจะไม่ได้รับผลกระทบ ทำให้ระบบปฏิบัติการยังคงปลอดภัยและพร้อมใช้งาน
ในขณะเดียวกัน อุปกรณ์ TAP ในเครือข่ายก็กลายเป็นเป้าหมายหลักโดยรวม การเข้าถึงแพ็กเก็ตสามารถทำได้โดยไม่ขัดจังหวะการรับส่งข้อมูลในเครือข่าย และโซลูชันการตรวจสอบเหล่านี้ยังสามารถจัดการกับกรณีที่ซับซ้อนมากขึ้นได้อีกด้วย ความต้องการในการตรวจสอบของเครื่องมือต่างๆ ตั้งแต่ไฟร์วอลล์รุ่นใหม่ไปจนถึงการป้องกันการรั่วไหลของข้อมูล การตรวจสอบประสิทธิภาพแอปพลิเคชัน SIEM นิติวิทยาศาสตร์ดิจิทัล IPS IDS และอื่นๆ บังคับให้อุปกรณ์ TAP ในเครือข่ายต้องพัฒนาต่อไป
นอกจากจะให้สำเนาข้อมูลการรับส่งข้อมูลที่สมบูรณ์และรักษาความพร้อมใช้งานแล้ว อุปกรณ์ TAP ยังสามารถให้ข้อมูลต่อไปนี้ได้อีกด้วย
1. กรองแพ็กเก็ตเพื่อเพิ่มประสิทธิภาพการตรวจสอบเครือข่ายให้สูงสุด
ถึงแม้อุปกรณ์ Network TAP จะสามารถสร้างสำเนาแพ็กเก็ตได้ 100% ในบางจุด แต่ก็ไม่ได้หมายความว่าเครื่องมือตรวจสอบและรักษาความปลอดภัยทุกตัวจำเป็นต้องเห็นข้อมูลทั้งหมด การส่งข้อมูลทราฟฟิกไปยังเครื่องมือตรวจสอบและรักษาความปลอดภัยเครือข่ายทั้งหมดแบบเรียลไทม์จะทำให้เกิดการจัดเรียงข้อมูลเกินความจำเป็น ซึ่งจะส่งผลเสียต่อประสิทธิภาพของเครื่องมือและเครือข่ายในที่สุด
การติดตั้งอุปกรณ์ Network TAP ที่เหมาะสมจะช่วยกรองแพ็กเก็ตเมื่อส่งไปยังเครื่องมือตรวจสอบ ทำให้สามารถกระจายข้อมูลที่ถูกต้องไปยังเครื่องมือที่เหมาะสมได้ ตัวอย่างของเครื่องมือดังกล่าว ได้แก่ ระบบตรวจจับการบุกรุก (IDS), ระบบป้องกันการสูญเสียข้อมูล (DLP), ระบบจัดการข้อมูลและเหตุการณ์ด้านความปลอดภัย (SIEM), การวิเคราะห์ทางนิติวิทยาศาสตร์ และอื่นๆ อีกมากมาย
2. รวบรวมลิงก์เพื่อการสร้างเครือข่ายที่มีประสิทธิภาพ
เมื่อความต้องการด้านการตรวจสอบและรักษาความปลอดภัยเครือข่ายเพิ่มมากขึ้น วิศวกรเครือข่ายจึงต้องหาวิธีใช้เงินงบประมาณด้านไอทีที่มีอยู่ให้คุ้มค่าที่สุดเพื่อทำงานให้ได้มากขึ้น แต่ถึงจุดหนึ่ง คุณก็ไม่สามารถเพิ่มอุปกรณ์ใหม่ๆ เข้าไปในระบบและทำให้เครือข่ายซับซ้อนขึ้นได้เรื่อยๆ จึงจำเป็นอย่างยิ่งที่จะต้องใช้เครื่องมือตรวจสอบและรักษาความปลอดภัยให้เกิดประโยชน์สูงสุด
อุปกรณ์ Network TAP สามารถช่วยรวบรวมทราฟฟิกเครือข่ายหลายเส้นทาง ทั้งขาเข้าและขาออก เพื่อส่งแพ็กเก็ตไปยังอุปกรณ์ที่เชื่อมต่อผ่านพอร์ตเดียว การใช้งานเครื่องมือตรวจสอบในลักษณะนี้จะช่วยลดจำนวนเครื่องมือตรวจสอบที่จำเป็นลงได้ เนื่องจากปริมาณทราฟฟิกข้อมูลระหว่างศูนย์ข้อมูลและระหว่างศูนย์ข้อมูลยังคงเติบโตอย่างต่อเนื่อง ความต้องการอุปกรณ์ Network TAP จึงมีความสำคัญอย่างยิ่งในการรักษาความสามารถในการมองเห็นการไหลของข้อมูลทุกมิติในปริมาณข้อมูลจำนวนมาก
บทความที่เกี่ยวข้องที่คุณอาจสนใจ โปรดเยี่ยมชมที่นี่:วิธีการดักจับข้อมูลการรับส่งเครือข่าย? Network Tap กับ Port Mirror
วันที่เผยแพร่: 24 ตุลาคม 2567
