インフラストラクチャにおける TIM の挿入場所は、収集する情報に影響します。
TIM は、監視インターフェースを介してネットワークからトラフィックを読み取ります。 前述のセクションで説明したように、監視インターフェースは、ミラー ポートまたはネットワーク タップに接続できます。 どちらの場合も、TIM は、対象となるパケットのコピーを受信し、分析してから、破棄します。 TIM は監視ポート上では送信しません。 トラフィックは TIM への一方向です。TIM は監視ポートからのパケットの受信のみを行うように設定されています。
大企業の標準的なネットワーク インフラストラクチャでは、TIM 監視ポートを挿入する場所がたくさんあります。 さまざまな挿入場所を図に示します。
注: ほとんどの環境では、冗長なインフラストラクチャが使用されていますが、 簡潔にするため、この図では 1 つのパスのみを示します。
図の左から右方向に、パケットはインターネット ルータを介して社内に入ります。 挿入場所 A は、ルータの外部に位置し、インターネットとルータの間です。
通常、このルータは、トラフィックをファイアウォールに転送します。挿入場所 B は、ルータとこのファイアウォールの間です。 ファイアウォールは、インバウンド トラフィックおよびアウトバウンド トラフィックを検査し、社内のセキュリティ ポリシーによってトラフィックをブロックするか受け入れます。 また、ファイアウォールは、ネットワーク アドレス変換(NAT)を実行して、社内のネットワーク接続デバイスをインターネットへの直接接続から保護することもできます。
注: 集約スイッチとネットワーク ロード バランサが同じデバイスに収められている場合もあります。
挿入場所 C は、ファイアウォールと集約スイッチ/ネットワーク ロード バランサの間です。 受け入れ可能なトラフィックは、ファイアウォールから集約スイッチ/ネットワーク ロード バランサへ転送されます。 多くの場合、集約スイッチ/ネットワーク ロード バランサは、SSL セッションを終了できるだけでなく、接続先クライアントの仮想 IP アドレス(VIP)をインスタンス化することもできます。 多くの集約スイッチ/ネットワーク ロード バランサは、プロキシとして動作して、クライアントからの接続を終了し、クライアントに代わって Web サーバへの接続を確立します。 集約スイッチ/ネットワーク ロード バランサの中には、Web サーバに対する負荷を軽減するために Web サーバへの永続接続を確立して使用するものもあります。
ほとんどの場合、集約スイッチはネットワーク ロード バランサにパケットを転送します。 挿入場所 D は、集約スイッチとネットワーク ロード バランサの間です。
最終的に、Web サーバは、集約スイッチに接続されるか、ネットワーク ロード バランサに直接接続されます。 挿入場所 E は、Web サーバの直前に位置し、集約スイッチと Web サーバの間、またはネットワーク ロード バランサと Web サーバの間のどちらかです。
パケットは、逆のパスで社内を出て、逆の順序でそれぞれの挿入場所を通過します (また、パケットが入るときに取るパスと出るときに取るパスが異なる(つまり、三角形になる)可能性もあります)。 または、Web サーバを出て、インターネットに直接入ることもあります。
挿入場所 A は、インターネットとインターネット ルータの間です。この場合は、クライアント IP アドレスを必ず認識できます。
挿入場所 A では、サーバの IP アドレスまたはサーバの MAC アドレスをほとんど認識できません。 CA CEM は、その除外ベースのリレーションシップ検出メカニズムで Web サーバの IP アドレスまたは MAC アドレスを使用して、収集するエビデンス セットを制限することで、トラブルシューティングの時間を短縮します。 この情報がなくてもエビデンス コレクションの処理は続行されますが、エビデンス セットは削減されないため、技術担当者が分析する必要がある情報量は、除外ベースの検出を使用しない場合よりも多くなります。
TIM はユーザの識別にクライアント IP アドレスを使用しないため、挿入場所 A の使用にはメリットがほとんどなく、デメリットが多くなります。
挿入場所 B は、インターネット ルータとファイアウォールの間で、ほとんどの場合クライアント IP アドレスを認識できます。
挿入場所 B では、サーバの IP アドレスまたはサーバの MAC アドレスをほとんど認識できません。 CA CEM は、その除外ベースのリレーションシップ検出メカニズムで Web サーバの IP アドレスまたは MAC アドレスを使用して、収集するエビデンス セットを制限することで、トラブルシューティングの時間を短縮します。 この情報がなくてもエビデンス コレクションの処理は続行されますが、エビデンス セットは削減されないため、技術担当者が分析する必要がある情報量は、除外ベースの検出を使用しない場合よりも多くなります。
TIM はユーザの識別にクライアント IP アドレスを使用しないため、挿入場所 B の使用にはメリットがほとんどなく、デメリットが多くなります。
挿入場所 C は、ファイアウォールと集約スイッチの間で、ほとんどの場合クライアント IP アドレスを認識できます。 挿入場所 C では、サーバの IP アドレスをほとんど認識できません。
TIM はユーザの識別にクライアント IP アドレスを使用しないため、挿入場所 C の使用にはメリットがほとんどなく、デメリットが多くなります。 環境により、挿入場所 C は、挿入場所 A および B よりもわずかにメリットがある場合もあります。
挿入場所 D は、集約スイッチとネットワーク ロード バランサの間で、通常はクライアント IP アドレスを認識できます。 このため、ネットワーク ロード バランサがプロキシとして動作している場合は、ネットワーク ロード バランサで「ソース アドレスの保持」を有効にする必要があります。 挿入場所 D では、ほとんどの場合サーバの IP アドレスを認識できます。
ネットワーク ロード バランサが永続接続を使用している場合、TIM をここに配置すると TIM に対する負荷が軽減されます。 負荷の軽減にはオープン接続を削減するという働きがあるので、重要になる可能性があります。 ネットワーク ロード バランサがクライアントに代わって SSL を終了する場合に、トラフィックを再暗号化しなければ、TIM に対する負荷はほとんどのケースでさらに大幅に軽減されます
Resonate など、一部の負荷分散環境では、サーバを MAC アドレスで識別できる可能性もあります。 ただし、多くの環境では、返されるサーバ IP アドレスおよびサーバ MAC アドレスは、ネットワーク ロード バランサの仮想 IP アドレス(VIP)のものです。
TIM はエビデンス コレクションにサーバの IP アドレスを使用するため、挿入場所 D の使用には大きなメリットがあり、デメリットは実質的にありません。 挿入場所 D は TIM の推奨挿入場所です。
挿入場所 E は、ネットワーク ロード バランサと 1 つ以上の Web サーバの間で、通常はクライアント IP アドレスを認識できます。 このため、ネットワーク ロード バランサがプロキシとして動作している場合は、ネットワーク ロード バランサで「ソース アドレスの保持」を有効にする必要があります。 挿入場所 E では、ほとんどの場合サーバの IP アドレスを認識できます。
ネットワーク ロード バランサが永続接続を使用している場合、TIM をここに配置すると TIM に対する負荷が軽減されます。 負荷の軽減にはオープン接続を削減するという働きがあるので、重要になる可能性があります。 ネットワーク ロード バランサがクライアントに代わって SSL を終了する場合に、トラフィックを再暗号化しなければ、TIM に対する負荷はほとんどのケースでさらに大幅に軽減されます
TIM はエビデンス コレクションにサーバの IP アドレスを使用するため、挿入場所 E の使用には大きなメリットがあります。 ただし、挿入場所 E には挿入場所 D にはないデメリットがいくつかあります。 Web サーバの数が多いと、挿入場所の数も多くなります。 このため、挿入場所 E でのタップの使用は事実上不可能になる可能性があります。
ポート ミラーリングが使用されている場合は、挿入場所 D と挿入場所 E は機能的に同等です。 多くの場合、挿入場所 E を使用するために必要なことは、仮想 LAN(VLAN)の展開のみです。 挿入場所 D の場合は、単純なポート ミラーリングを使用できる可能性があります。
|
Copyright © 2013 CA.
All rights reserved.
|
|