モニタリングシステム最適化ソリューション

今日多くの組織において、ネットワークやセキュリティの専門家が、セキュリティの改善や、ネットワークの可用性向上およびキャパシティプランなどの目的でネットワークをモニターしています。しかしながら、モニタリングアプリケーションの多くは、設置箇所や導入コストのROIといった点で多くの問題を抱えています。

トップレイヤーのIDS Balancerは、負荷分散、アグリゲーション（集約）およびアプリケーション・フィルタリングによってネットワークモニタリングの効率化を図り、以下のようなモニタリングセンサーの導入効果と性能を最大限に発揮すべく開発されました。

• ネットワーク型侵入検知システム(nIDS)
• フォレンジックシステム
• コンテンツインスペクション
• ネットワークアナライザ
• RMONプローブやその他の独自システム
• VoIPレコーダ


モニタリングシステムの問題点
モニタリングシステムは、組織にとって非常に有用なシステムですが、その一方で、すべてのネットワーク・トラフィックを監視する非常に負荷の大きなシステムです。このため、次のような問題点が指摘されています。

・導入コストの問題
モニタリングシステムは、トラフィックが通過するすべてのポイントに設置するため、ネットワークセグメントを網羅できるだけの台数が必要となり、導入コストが高くなります。

・SPAN/ミラーポートや、タップポートの数の制限
一般に、ネットワーク上の“SPAN/Mirror”ポートやタップポートの数には限りがあるので、これらをさまざまなモニタリングアプリケーション間で共有しなければなりません。

・処理能力の問題
モニタリングシステムは、監視するトラフィックの量に追いつけなくなることがあります。その際、パケットロスの発生により、攻撃を検知し損ねる可能性があります。例えば、nIDSには、一般的に、10/100Mbps用センサーと、ギガビットセンサーがありますが、それに見合った接続を使用していたとしても、せいぜい4～6割程度の追跡が限界です。それを超える分のトラフィックは、検知はおろか、追跡もされないことになります。

・冗長性の問題
一般的なモニタリング環境では、各センサーは単独に設置され、ネットワークの別々の部分を監視します。この場合、あるセンサーが故障すると、そのセンサーが監視するネットワーク部分の攻撃や侵入が見逃されてしまいます。

・非対称経路のトラフィックの監視問題
経路が非対称なネットワークでは、トラフィックがモニタリングシステムに到達する前に複数のパスを通過することがあり、モニタリングシステムが片方向の通信のしか監視できない場合があります。モニタリングシステムが機能するためには双方向のフローを監視する必要があります。

これらの問題点により、モニタリングシステムを効率よく運用する方法についてさまざまな方法が考えられてきました。そのひとつが負荷分散システムです。

IDS Balancerの最新技術
モニタリングシステムが正確な検知を行うためには、ファイアウォールやサーバの負荷分散には有効であったパケット単位での配分ではなく、フロー単位でトラフィックを配分し、負荷を低減する必要があります。データのロスがなくなったとしても、分断されたパケット単位では無意味なためです。
そこで、トップレイヤーでは、フロー単位の負荷分散はもちろんのこと、モニタリングシステムの性能を最大限に、かつ安全に使用できる最適化ソリューションとしてIDS Balancerを開発いたしました。

・インテリジェントな負荷分散機能
多くのモニタリングセンサーは大量のトラフィックの処理を苦手としています。このようなオーバーロードに直面すると、センサーは攻撃であるかどうかをチェックせずにトラフィックを破棄してしまい、非常に危険な状況です。IDS Balancerはこのようなトラフィックを複数のセンサーに分散します。ステートフルなフローベースのデバイスであるIDS Balancerは、フロー (ネットワーク上のホスト間の通信) に基づいてトラフィックの負荷を分散し、個々のセンサーが同一のホスト間の通信を監視することを可能とし、かつ、センサーによるモニターグループの形成により大量のトラフィックに対応します。

・検知精度を高めるFlow Mirror™機能
これまでのネットワーク負荷分散システムで用いられていたパケットベースの分配ではなく、フロー単位での振り分けに対応しました。送信元やあて先のIPアドレスに関わらず、各フローを個別に扱います。各フローは、IDS Balancerでコピーされ、指定されたモニタリングシステムに送られます。
また、Flow Mirror機能では、各フローを特定のモニタリングシステム、もしくは複数種類のモニタリングシステムに送ることが可能です。　同一データを複数種類のモニタリングシステムで監視させることにより、SPAN/Mirror ポートやタップポートをより有効に活用することが可能となります。



・トラフィックのアグリゲーション機能
トップレイヤーのIDS Balancerは、複数のネットワークセグメントからのトラフィックを集約することにより、モニタリングセンサーの数を削減し、すみやかな節約効果をもたらします。

・モニタリングセンサーのN+1の冗長性の実現
一般的なモニタリング環境では、各センサーは単独に設置され、ネットワークの別々の部分を監視します。この場合、あるセンサーが故障すると、そのセンサーが監視するネットワーク部分の攻撃や侵入が見逃されてしまいます。

IDS Balancerはトラフィックをセンサーのグループに分散します。グループ内のあるモニタリングセンサーが故障すると、他のセンサーがその負荷を引き継ぐので、モニタリング作業にはまったく影響がありません。

・非対称経路ネットワークのサポート
非対称な経路が存在するネットワークでは、モニタリングセンサーの配置が難しい問題となります。センサーが効果を上げるには、2つのエンドポイント間のデータフロー全体を監視する必要があります。トラフィックがある経路から入って、別の経路から出ると、センサーが監視できるのは通信の半分だけなので、深刻な攻撃が検知されなかったり、プロトコル異常が誤報される恐れがあります。

IDS Balancerは、特許取得済みテクノロジーを使って、センサーにトラフィックを渡す前に通信の両方の半分をマッチングすることにより、この問題を解決してネットワークを100％カバーします。

・ギガビットネットワーク対応
TL4508-IDS、AS3532の2機種では、ギガビットイーサネットに対応。ネットワークのパフォーマンスを最大限に発揮します。1Gbps対応モニタリングシステムの接続はもちろんのこと、複数の1Gbps/100Mbps対応モニタリングシステムへの振り分けも可能です。

ラインナップ

TL4508-IDS ギガビットEthernetポート×8 1000base-SX×4（固定） GBIC×4 Fast Ethernetポート×8 1ポートは管理用

導入パターン
- インテリジェントロードバランシング
- アグリゲーション（集約）

導入シナリオ
- モニタリングシステム運用最適化
- nIDSセンサー運用最適化
- VoIPレコーダ運用の最適化

製品の詳細、導入につきましての製品白書をダウンロードいただけます。
→ The Case for IDS Balancing vs. a Switch
→ nIDSの脆弱性：リスクの認識と克服