W kwietniu br. wiele się działo w sektorach wykrywania i reagowania w sieci (NDR) oraz monitorowania i diagnostyki wydajności sieci (NPMD). W Kemp ogłosiliśmy, że najnowsza aktualizacja rozwiązania równoważenia obciążenia LoadMaster integruje się teraz z Flowmon za pośrednictwem telemetrii sieciowej przy użyciu sondy Flowmon w LoadMaster. Jest to ważny kamień milowy w naszej wizji integracji rozwiązań Kemp LoadMaster i Flowmon, które były kluczowym czynnikiem, który wpłynął na decyzję firmy Kemp o przejęciu Flowmon.
Darktrace, dostawca rozwiązań na rynku NDR, ogłosił, że zostanie notowany na Londyńskiej Giełdzie Papierów Wartościowych poprzez IPO jeszcze w tym roku. Oferta publiczna była szeroko opisywana w głównych i branżowych serwisach informacyjnych w Europie i powinna zwiększać świadomość na temat narzędzi cyberbezpieczeństwa, w szczególności NDR.
Obie te wartościowe pozycje podkreślają pytanie, które wielu technologów zadawało od czasu dodania Flowmon do rodziny Kemp w zeszłym roku: „Jak wypada Flowmon w porównaniu z Darktrace?”
Uważamy, że Kemp LoadMaster w połączeniu z rozwiązaniami Flowmon to propozycja lepszej funkcjonalności i wartości w porównaniu z ofertą Darktrace. Jako narzędzie do cyberbezpieczeństwa NDR, Darktrace zapewnia ochronę i korzyści, z których wiele organizacji korzysta na co dzień. Jednak patrząc z perspektywy, połączona oferta Kemp i Flowmon zapewnia większą funkcjonalność, więcej danych z monitorowania w czasie i jest dostarczana po niższych kosztach.
Kemp Flowmon vs Darktrace
Przepływ danych w Flowmon a przechwytywanie pakietów w Darktrace
Podstawowym wyróżnikiem jest sposób, w jaki rozwiązania zbierają dane. Flowmon monitoruje sieć w oparciu o gromadzenie danych dotyczących przepływu. Jest to wysoce wydajna technika, która zmniejsza wymaganą pamięć masową i moc obliczeniową procesora potrzebną do przechwytywania i analizowania danych monitorowania sieci. Korzystanie z przepływu danych jest wydajne, ponieważ większość informacji o zawartości pakietu nie ma znaczenia dla operacji sieciowych i bezpieczeństwa. W razie potrzeby w Flowmon dostępne jest pełne przechwytywanie pakietów, które pomaga określić podstawową przyczynę problemu.
Darktrace używa pełnego przechwytywania pakietów, co ma znaczący wpływ na ilość danych historycznych, które można zachować. Ogranicza również miejsce, w którym Darktrace może uzyskać widoczność w sieci bez rozległego rozmieszczania sond.
Gromadzenie danych o przepływie zapewnia monitorowanie i analizę sieci w czasie rzeczywistym bez znacznych wymagań dotyczących przechowywania pełnego przechwytywania pakietów. Większość nowoczesnych urządzeń sieciowych obsługuje eksport przepływu. Zamiast zbierać wszystkie pakiety, kolektor przepływu śledzi źródłowy i docelowy adres IP oraz port dla każdej interakcji sieciowej ze źródeł przepływu. Czas trwania komunikacji i liczba przesłanych bajtów są również rejestrowane i przechowywane. Rzeczywiste dane użytkownika w pakietach nie są przechowywane. Może to być dobre rozwiązanie, gdy firmy zajmują się prywatnością i politykami, takimi jak RODO i HIPAA.
Monitorowanie przepływu danych
Rejestracja przepływu danych jest podobna do sposobu, w jaki firma telefoniczna śledzi Twoje rozmowy telefoniczne. Prowadzone są dzienniki połączeń wykonanych za pomocą sygnatury czasowej i czasu trwania połączeń. Ale treść połączeń nie jest przechowywana. Monitorowanie przepływu danych rejestruje połączenia między punktami końcowymi w sieci, czas utrzymywania łączy, ilość danych, które przepływały między nimi oraz typ danych. Rzeczywista zawartość strumieni danych nie jest przechowywana przez długi czas.
Rejestrowanie przepływu danych zamiast pełnych danych pakietowych zmniejsza ilość danych przechowywanych w celu monitorowania sieci. Typowe redukcje mieszczą się w zakresie od 250 do 500:1 przy pełnej analizie pakietu. Oznacza to, że wymagane jest tylko 0,2% pamięci, a dane z monitorowania sieci można przechowywać przez dłuższy czas, aby umożliwić analizę w przyszłości. Na przykład przechwytywanie średniej przepustowości 250 Mb/s odpowiada rozmiarowi danych 1,8 GB na minutę, co daje w sumie 108 GB na godzinę i 2,6 TB dziennie. W nowoczesnych sieciach 10 Gb/s możliwe jest przechwytywanie i przechowywanie danych o wielkości do 100 TB! To znaczące przedsięwzięcie, nawet jeśli dane są przechowywane przez krótkie okresy. A krótkie okresy przechowywania z szybkim usuwaniem oznaczają, że informacje historyczne nie są dostępne do głębokiej analizy wydarzeń, które wyjdą na jaw po zniknięciu tych informacji.
Doświadczenie pokazuje, że możliwe jest analizowanie i rozwiązywanie nawet 95% wszystkich incydentów sieciowych, które wymagają zbadania, poprzez zbieranie wzbogaconych danych o przepływie. Jest to możliwe dzięki zastosowaniu kombinacji protokołów NetFlow i IPFIX do zbierania przepływu danych. W pozostałych 5% przypadków analizę pakietów można włączyć (a nawet uruchomić automatycznie w programie Flowmon), gdy jest to wymagane do przechwycenia pakietów danych.
Przewaga Flowmon
Darktrace to czyste rozwiązanie NDR w zakresie cyberbezpieczeństwa. Ma rozwiązanie oparte na uczeniu maszynowym Enterprise Immune System (EIS) do wykrywania oraz opcjonalne narzędzie Antigena do automatycznych odpowiedzi. Flowmon jest zarówno narzędziem NDR, jak i narzędziem NPMD. Funkcjonalność NDR jest dostarczana za pośrednictwem narzędzia Flowmon Anomaly Detection System (ADS), a NPMD jest dostarczana za pośrednictwem Flowmon Monitoring Center. Oznacza to, że Flowmon zapewnia zarówno monitorowanie cyberbezpieczeństwa sieci, jak i monitorowanie wydajności i diagnostykę w celu wykrywania i wskazywania problemów sieciowych, które nie mają nic wspólnego z atakami na cyberbezpieczeństwo. Z tego powodu Flowmon zapewnia zarówno wykrywanie bezpieczeństwa, jak i ochronę, a także monitorowanie usług i ostrzeganie.
To połączenie zapewnia, że doświadczenie użytkownika dla osób korzystających z usług i aplikacji w sieci jest zawsze optymalne. To właśnie ta funkcjonalność zapewnia synergię ze sposobem, w jaki LoadMaster zapewnia ulepszoną obsługę aplikacji internetowych. Zapewnienie najlepszego działania aplikacji wymaga, aby zarówno serwery aplikacji, jak i sieć nie miały żadnych problemów obniżających wydajność. LoadMaster zapewnia optymalną wydajność aplikacji, a Flowmon zapewnia optymalną wydajność sieci. W połączeniu zapewniają one, że wszystkie aplikacje są dostępne i gotowe do reagowania na żądania użytkowników.
Flowmon + LoadMaster = Kemp AX
Zarówno Darktrace, jak i Flowmon zapewniają automatyczne odpowiedzi na anomalie sieciowe. Każdy z nich integruje się z produktami SIEM innych firm i zaporami sieciowymi, aby umożliwić automatyczne blokowanie strumieni danych i portów zgodnie z wymaganiami.
Flowmon rozszerza również zabezpieczenia firewalla aplikacji internetowych (WAF) w LoadMaster na całe środowisko cyfrowe. Obejmuje nie tylko łańcuch dostarczania aplikacji, ale także ruch sieciowy północ-południe i wschód-zachód. Pozwala to na wykrywanie i reagowanie na zdarzenia, takie jak ataki boczne (lateral movement), zbieranie danych, polecenia Command&Control (sieci botnet) lub eksfiltracja danych. To skutecznie zmienia sieć w kolejną warstwę ochrony przed cyberzagrożeniami i zapewnia, że aplikacje są dostarczane w bezpiecznym środowisku w całej infrastrukturze.
W ten sam sposób, w jaki LoadMaster zapewnia najlepszy stosunek ceny do wydajności w sektorze aplikacji, propozycja wartości Flowmon zapewnia znaczne oszczędności w porównaniu z Darktrace. Typowe ceny dla porównywalnych wdrożeń mogą być 2,5 raza droższe w przypadku Darktrace.
Flowmon jest bardziej funkcjonalny, integruje się z LoadMaster, aby zapewnić najlepszą obsługę aplikacji i jest bardziej opłacalny na początku, jak i po pewnym czasie (niższy TCO).
Wnioski
Połączenie Kemp LoadMaster i Flowmon zapewnia rozwiązanie, które zapewnia zwiększone bezpieczeństwo cybernetyczne i lepsze wrażenia z dostarczania aplikacji. Niezależnie od tego, czy korzystasz z istniejącego wdrożenia Kemp LoadMaster, systemu wykrywania anomalii Flowmon i centrum monitorowania Flowmon, czy też zaczynasz od zera, wspólne wdrożenie tych narzędzi usprawni i uprości operacje dostarczania sieci i aplikacji.
Pobierz wersję próbną LoadMaster
Uzyskaj bezpłatną ocenę swojej sieci od Kemp
Treść oryginalnego artykułu Kemp: https://kemptechnologies.com/blog/kemp-flowmon-versus-darktrace/
Informacja o autorze artykułu:
Frank Yue
Frank Yue jest ewangelistą technologii w Kemp, który przekłada produkty i technologie na potrzeby i wartości biznesowe. Patrzy na rozwijający się krajobraz technologii i jego wpływ na architekturę IT i organizację. Frank pisze blogi i opracowania typu white paper oraz przemawia na konferencjach i wydarzeniach związanych z technologiami sieciowymi aplikacji. Ma ponad 25 lat doświadczenia w budowaniu sieci IT dużej skali i pracy z wysokowydajnymi technologiami aplikacyjnymi, w tym głęboką inspekcją pakietów, bezpieczeństwem sieci i dostarczaniem aplikacji. Kiedy nie rozmawia o technologii, Frank jest instruktorem nurkowania i aktorem drugoplanowym. Ukończył University of Pennsylvania i mieszka w Wilmington w Północnej Karolinie w USA.
.....................................................................................
Zainteresowały Cię rozwiązania Kemp / Flowmon ?
Zapraszam do kontaktu
Marceli Matczak
Security / SDN Business Development Manager
+48 785 051 978
marceli.matczak@s4e.pl