美国排名第一的新闻时 NewsBreak
遥测(Telemetry)技术已经成为威胁检测与响应中不可或缺的部分。企业可以通过遥测数据了解到内 的所有威胁信息与环境状态,并对所有设备、应用、云端的威胁情 进行关联分析,提升情 的可操作性。
文| 陈玉奇
随着数字化转型的不断深入
现代化应用与云原生等领域也进入了爆发期
各种应用更是层出不穷
深入世界的方方面面
使用者们也对应用的
可靠性、安全性、效率等方面提出了更高的要求
为了满足这些要求
开发和运维人员希望实时掌握应用的运行状态
因此“可观测性”成为产品赢得青睐的关键
甚至有人定义2022年是“可观测年”
而遥测作为新型的 络监控测量技术之一
被大家寄予厚望
遥测与传统 络监控方式对比
为了实现对 络流量、应用状态的可见性,安全人员尝试使用不同技术进行观测,传统的监控都是利用外部第三方的工具获取分析数据,整个应用一直处于被动的先接收请求、后发送状态的循环中。此举不仅发出的信息有限,一旦出现 络抖动或者资源不足的时候, 状态的获取亦会出现问题,影响信息的时效性和完整性,从而影响整个的可见性判断。更有甚者,状态获取会直接影响应用主体的性能开销,可能导致应用出现宕机或者失败。
传统 络监控方式
为了解决这些问题,遥测技术摈弃了传统的外部检测的方式,更加强调数据平面自身状态的主动推送,提供更强的时效性,输出更多的状态信息。以结构化的数据,进一步帮助客户实时了解运行状态。
遥测技术
安全设备对遥测技术的需求
在运用遥测技术的过程中,我们发现随着状态信息的多维,平台的多元化,数据量也会越来越多,利用这些数据进一步计算和分析后,使用者将更加精确的了解设备状态,更精准的进行故障定位。在考量遥测技术的过程中,必须要考虑海量数据的存储、分析、计算,以及不依赖于特定平台的数据消费场景。
络安全设备作为特殊的一种应用类型,同样也会面临利用遥测技术满足“可观测性”的需求,但是对 络安全设备和场景来说,其遥测技术的利用包含了两个不同的层面,其一,自身设备、软件、状态的遥测数据和分析,满足自身状态监控的要求;其二,其所保护或监控的对象(例如,流量、进程)的遥测数据的采集、分析与消费,从而帮助其提升安全能力。
针对第一个需求,要求安全产品的生产设计厂商实现产品数据平面和管理平面的分析,数据平面上能够主动输出遥测信息,能够将不同维度的状态信息,向管理平台 告,管理平台能够根据收到的结构化数据,进行分类计算,统一展现数据平面的状态,保证安全产品本身的稳定性,随着安全产品部署的规模变大,控制平面能够接收到不同层级的遥测数据,并且能够分层分级的展现。
第二个需求相较第一个需求可能存在更多的技术难点。由于数据格式、输出等方向都是厂商自身统一规划建设的,该需求可能涉及的厂商和数据更加的复杂,在实现遥测技术的过程中,碰到的问题也就更多,因此需要更加精细化的设计,包括如何实现多数据源接入采集、数据格式化、统一的数据存储方式、开放的消费场景、整个平台可靠性等。
遥测技术在安全设备上的应用场景
遥测技术应用的过程中,安全设备既要主动发送解析后的流量数据,如协议、攻击、风险等,并且要求能够将上下文的信息一并发送出来,包括但不限于用户身份、漏洞信息、关键业务信息等,相关的安全平台才能根据这些数据进行计算,深度了解所保护或监控的对象中是否存在隐蔽的安全风险与攻击,甚至可以回溯之前已经发生过的相关安全事件。
当这些安全设备将遥测数据发送出来之后,是不是从平台侧就已经限定其具体消费场景了?从狭义上看,安全设备采集的遥测数据,一般如前文所述,只用于安全的场景。而从遥测的整体概念而言,只要能够实现数据的实时、主动、格式化的外送,就可以被不同的场景所消费,例如被解析后的流量协议数据,就可以进入kafka,继而被不同的引擎消费,既可以基于风险分析实现对攻击事件的检测,也可以基于实际数据内容分析,实现内部的风控计算,还可以基于各种 络元数据进行相关的性能分析。
利用遥测技术采集数据是非常重要的,而能够建设一个可扩展、稳定的计算平台更加重要。消费场景的不同,数据收集维度的增加,数据量也不断增加,因此各种消费场景必然依赖于整个平台的可扩展性。同时对这个平台的处理性能,查询性能的需求也必然增加,只有高扩展性的大数据集群化平台才有机会实现高性能的处理。
PRS-NTA对遥测技术的运用
斗象科技的PRS-NTA安全流量计算分析平台就采用相关的遥测技术,数据与控制分离,既实现对自身状态的监控、分析,也通过对流量中各种元数据的遥测采集,提供独立平台的不同消费场景,帮助企业客户发现更多流量价值。
声明:本站部分文章及图片源自用户投稿,如本站任何资料有侵权请您尽早请联系jinwei@zod.com.cn进行处理,非常感谢!