安博通看RSA2018:流量可视化如何做到1+1+1>3(下篇)
安博通预测流量可视化2018三大发展态势,全方位解析国内外流量可视化厂商核心技术&产品方案
参展厂商简析
Netscout公司创建于1984年6月,是网络和应用流量监控分析行业的老牌强手,其产品线和解决方案异常全面,涉猎面非常广泛。
图:Netscout产品列表
图:Netscout解决方案列表
不过,回到RSA会议的主题:安全,Netscout在安全方面的方案却显得并不突出,安全在Netscout整体方案中的比重也不算高。在云抗D解决方案中,Netscout可以同时提供运营商和接入用户侧的产品方案,通过流量识别能力对潜在的攻击行为进行识别,以及在DDoS攻击发生的时候能够快速通过BGP路由/DNS协议等方式将流量引开。在安全解决方案中,Netscout并未明确与某些领先的专业安全厂商进行合作,但同样宣称能够进行未知威胁发现和自动化安全运维。安博通产品经理对Netsout的流量分析和呈现进行了现场调研,demo演示中可以看到Netscout在这方面的积累还是非常深厚,不论是元数据存储和审计、质量分析和可视化呈现方案都非常成熟。
图:Netscout产品demo演示情况
Gigamon成立于2004年,这家公司的解决方案特色非常突出:在NPBs产品的基础上主打安全方向,在上文中提高的一次解析架构就是Gigamon正在推广的主力方案。在SSL解密方面,Gigamon的高端硬件可以提供高达40Gbps性能的在线/旁路SSL解密能力,在业界处于领先地位,这得益于其优秀的软硬件设计能力。
图:Gigamon产品SSL卸载方案
Gigamon在安全方案方面使用合作的方式全面铺开,其技术合作伙伴包括在安全业界顶尖的Check Point、Cisco、FireEye、IBM Security、McAfee、Palo Alto等等厂商,几百种API适配使得Gigamon的流量解析能力牢牢地扎根于整体安全解决方案中,其自身产品设计也考虑到公有云以及虚拟化环境部署,这让Gigamon通过借船出海的方式成为了安全业界的交叉点。安博通产品经理认为,Gigamon公司的合作模式非常值得国内厂商借鉴和学习。
图:Gigamon部分技术方案合作伙伴名录
Manage Engine这家公司是印度人在硅谷创立的一家创业公司,整体产品解决方案同样非常明确:主打IT运维方向。在与安博通产品经理的交流中,Manage Engine的一位高级管理者强调,该公司的价值主张是在IT架构越来越复杂的情况下,通过多种工具使得用户的操作更简便,让IT运维变得更轻松、简单、可视化。
Manage Engine公司的解决方案包括AD域管理、桌面管理、移动设备管理、office 365管理、呼叫中心管理、云运维与IT运维等,甚至包括专门的IP地址规划管理组件,完全围绕一个大中型规模公司的IT架构建设思路进行产品方案设计,可以说是一个可以直接提供整体企业IT服务的产品研发型公司,这一思路显得非常新颖,用户几乎可以从Manage Engine直接拿到所有需要的产品。该公司还有一个有趣的特点,就是其所有软件产品都可以在其官网上得到免费的demo演示版本,并且可以通过CSV文件的方式导入数据,在demo上直接仿真真实的业务,这种自信大胆的方式确实令人刮目相看。
在流量可视化方面,其带宽监控和流量分析产品具备很强的运维特色,例如其产品方案中会直接集成各种合规标准(如ISO、PCI、SANS和NIST等),根据流量识别的情况来分析网络是否存在不合规的情况,并给出报表结果。
图:Manage Engine合规情况分析
总体来看,Manage Engine是一家思路独特,风格大胆,产品思路清晰的优秀厂商。
Flowmon厂商的主要方向是NPMD,主打网络/应用性能监控、故障诊断和行为分析,其方案中也提供DDoS能力。整体上看,相比于以上提到的几家公司,Flowmon缺乏鲜明的特点和主旨。与其他厂商不同的是,Flowmon在流量解析能力之上提供网络代理产品和元数据记录审计产品。其广泛合作的思路与Gigmon比较类似,在合作伙伴中有F5、山石网科、IXIA、Netscope等,但并未看到深入的技术细节。
安博通流量可视化产品的设计思路较为明晰,主要提供三种数据应用:溯源取证、行为审计分析和安全威胁感知,定位的业务方向是运维+安全,与Gigamon有不少类似之处。在态势感知系统中,安博通的流量可视化产品作为流量审计+态势探针组件出现,实现以下方案:
l 行为审计(流量识别、应用审计、数据加工)
l 威胁感知(基于特征的已知威胁识别、基于机器学习的未知威胁识别)
l 溯源取证(内网应用审计、威胁追踪、存证界定)
作为安博通整体可视化的一个组成部分,流量可视化产品也可以作为可视化平台方案的一个叠加数据层面,将流量和威胁信息叠加在策略可视化平台给出的策略路径上,并完成策略命中、策略收敛、策略建议业务,从而实现策略路径+流量分析+安全事件的独特解决方案。
图:安博通流量可视化产品组成
通过这次RSA会议上对流量可视化产品的梳理,安博通产品经理认为单就流量识别与呈现的核心能力来说,中国厂商并不弱于美国厂商,而在中国本土环境下,对于国内应用的处理更是近水楼台先得月,中国厂商的提取分析能力是更胜一筹的。但是相比美国NPBs产品的深度耦合相比,中国流量可视化产品与其他解决方案的化学反应显得不足,整体方案能力逊色。
在美国,流量分析、可视化呈现、安全防御、大数据情报、IT运维、云数据中心等领域的厂商互相间存在紧密的合作关系网,紧密围绕着NPBs产品的分流负载+提取分析+数据应用三个组成部分推出了无数个贴近用户实际应用的解决方案,完全实现了1+1+1>3的实际效果。在国内,流量可视化厂商经常需要花费大量时间去跟用户解释,为什么需要这项技术、能够解决哪些问题、核心价值在何处,就是因为厂商站在分流负载和提取分析这1+1上不愿意迈向用户业务这第三步,所以显得曲高和寡。在RSA展会上,每一个厂商都有主打的业务模式,比如Manage Engine的运维、Gigamon的安全、Netscout的多个细分场景,作为听众一秒钟就能抓到重点,因为这些厂商本来就走得离用户更近。
在结尾,安博通产品经理希望给出一些建议:国内的流量可视化厂商在提升流量分析的核心能力同时,可以多多走出去,以开放的心态与安全提供商、大数据提供商、运维工具提供商等方面进行深入的交流与合作,共同催生出更多贴近用户的解决方案,而不一定要把链条上的环节全部一家完做完。大家一起把场面和市场做大,才能够彻底撕下小众的标签,实现行业与用户的双赢。