Tweet
SD-WAN không chỉ là kết nối WAN, mà còn là nguồn dữ liệu bảo mật cực kỳ giá trị
Nhiều kỹ sư mạng triển khai SD-WAN chỉ tập trung vào các tính năng như:
Tuy nhiên, một giá trị rất lớn khác của Cisco Catalyst SD-WAN nằm ở khả năng thu thập và xuất dữ liệu telemetry phục vụ cho vận hành và bảo mật.
Mỗi ngày hệ thống SD-WAN tạo ra một lượng lớn:
Nếu chỉ xem những dữ liệu này trên vManage thì góc nhìn vẫn còn giới hạn. Khi tích hợp với Splunk, toàn bộ log và telemetry từ SD-WAN Fabric được tập trung vào Data Lake để thực hiện:
Điều này giúp SOC có thể nhìn thấy bức tranh bảo mật trên toàn bộ hệ thống SD-WAN từ một giao diện duy nhất. Một trong những use case phổ biến nhất là Threat Management.
Ví dụ, thay vì đăng nhập vào từng router Edge để kiểm tra IPS, Splunk có thể tổng hợp:
SOC có thể nhanh chóng xác định site nào đang bị tấn công hoặc thiết bị nào đang phát sinh nhiều cảnh báo nhất. Ở góc độ vận hành mạng, Flow Analysis cũng rất hữu ích. Kỹ sư có thể trả lời nhanh các câu hỏi như:
Đây là những thông tin rất quan trọng cho Capacity Planning, QoE Monitoring và Security Analytics.
Trong các doanh nghiệp lớn triển khai hàng trăm hoặc hàng nghìn chi nhánh SD-WAN, việc đưa dữ liệu SD-WAN vào Splunk giúp biến hạ tầng WAN từ một hệ thống truyền tải đơn thuần trở thành một nguồn dữ liệu phục vụ AIOps, SecOps và Network Observability.
Nói cách khác, SD-WAN không chỉ giúp lựa chọn đường đi tối ưu cho ứng dụng mà còn trở thành một cảm biến (sensor) khổng lồ cung cấp dữ liệu cho toàn bộ hệ sinh thái giám sát và bảo mật của doanh nghiệp.
Nhiều kỹ sư mạng triển khai SD-WAN chỉ tập trung vào các tính năng như:
- Application-Aware Routing
- DIA (Direct Internet Access)
- SLA-based Path Selection
- Segmentation
Tuy nhiên, một giá trị rất lớn khác của Cisco Catalyst SD-WAN nằm ở khả năng thu thập và xuất dữ liệu telemetry phục vụ cho vận hành và bảo mật.
Mỗi ngày hệ thống SD-WAN tạo ra một lượng lớn:
- Security Events
- IPS Alerts
- Malware Detections
- URL Filtering Logs
- Application Visibility Data
- NetFlow/IPFIX Information
- Device Health Metrics
Nếu chỉ xem những dữ liệu này trên vManage thì góc nhìn vẫn còn giới hạn. Khi tích hợp với Splunk, toàn bộ log và telemetry từ SD-WAN Fabric được tập trung vào Data Lake để thực hiện:
- Indexing
- Correlation
- Threat Hunting
- Dashboard Visualization
- Long-term Retention
Điều này giúp SOC có thể nhìn thấy bức tranh bảo mật trên toàn bộ hệ thống SD-WAN từ một giao diện duy nhất. Một trong những use case phổ biến nhất là Threat Management.
Ví dụ, thay vì đăng nhập vào từng router Edge để kiểm tra IPS, Splunk có thể tổng hợp:
- Top IPS Events
- Top Malware Signatures
- Top Attacked Branches
- Top Vulnerable Devices
SOC có thể nhanh chóng xác định site nào đang bị tấn công hoặc thiết bị nào đang phát sinh nhiều cảnh báo nhất. Ở góc độ vận hành mạng, Flow Analysis cũng rất hữu ích. Kỹ sư có thể trả lời nhanh các câu hỏi như:
- Ứng dụng nào đang tiêu thụ nhiều băng thông nhất?
- Chi nhánh nào truy cập Internet nhiều nhất?
- Người dùng đang sử dụng SaaS nào?
- Domain nào được truy cập nhiều nhất?
- Xu hướng lưu lượng thay đổi như thế nào theo thời gian?
Đây là những thông tin rất quan trọng cho Capacity Planning, QoE Monitoring và Security Analytics.
Trong các doanh nghiệp lớn triển khai hàng trăm hoặc hàng nghìn chi nhánh SD-WAN, việc đưa dữ liệu SD-WAN vào Splunk giúp biến hạ tầng WAN từ một hệ thống truyền tải đơn thuần trở thành một nguồn dữ liệu phục vụ AIOps, SecOps và Network Observability.
Nói cách khác, SD-WAN không chỉ giúp lựa chọn đường đi tối ưu cho ứng dụng mà còn trở thành một cảm biến (sensor) khổng lồ cung cấp dữ liệu cho toàn bộ hệ sinh thái giám sát và bảo mật của doanh nghiệp.
Attached Files