AppStack

Проблема, которую решает

Современные сети — один из самых критичных и сложных активов предприятия. Администраторам не хватает сквозной видимости: кто и какие приложения использует, где они выполняются, сколько потребляют полосы пропускания, и как это влияет на безопасность и производительность.

Решение

AppStack сочетает:
• статическую идентификацию шаблонов трафика по сигнатурам

• динамическое обнаружение приложений

В результате формируется целостная картина приложений в сети: типы приложений, потребление полосы пропускания, география выполнения. Платформа позволяет:
• фильтровать и отбирать трафик по множеству критериев

• пересылать нужные потоки в системы мониторинга/безопасности

• обогащать экспортируемые данные контекстом уровня приложений

Поддерживаются форматы экспорта: NetFlow, IPFIX, JSON, включая обогащение данными уровня приложений (IxFlow).

Ключевые особенности

• Высокоточная идентификация приложений для повышения уровня сетевой видимости

• Удобное управление фильтрами через интерфейс «укажи и щёлкни»

• Фильтрация трафика и/или обогащение данных для внешних инструментов (NetFlow/IPFIX/JSON)

• Расширенная географическая информация, данные о приложениях и устройствах для более глубоких отчётов

• Сигнатуры приложений поддерживаются Keysight и регулярно обновляются — инструменты «узнают» новые приложения автоматически

Сценарии использования

• Подготовка данных для управленческих решений

• Мониторинг резких всплесков потребления полосы пропускания приложениями

• Отслеживание сбоев приложений

• Выявление подозрительной активности

• Анализ использования приложений по географии

• Анализ влияния устройств и поведения пользователей

• Аудиты по безопасности, политикам и нарушениям

Панель мониторинга (в реальном времени)

Доступны основные представления:
• объём трафика в реальном времени

• распределение приложений и полоса пропускания по каждому приложению

• страны с наибольшим объёмом трафика

• карта мира с подсветкой стран-источников трафика

• последние динамически обнаруженные приложения (в т.ч. неизвестные, потенциально вредоносные)

• устройства по операционным системам (на основе агрегированного трафика)

• приложения по агрегированному трафику, полосе пропускания, байтам и сессиям

• браузеры (процентное распределение трафика за последний час)

• фильтры (агрегированный трафик за 24 часа)

Фильтрация трафика

Фильтры можно комбинировать для создания детализированных потоков данных. Поддерживаются критерии:
• географическое расположение

• действия/поддействия приложения

• IP-адрес

• сопоставление по шаблонам (RegEx)

• протокол/порт

• группы приложений

• приложение

• трафик SSL/TLS

Функциональные блоки

1) Идентификация приложений

• определение и/или фильтрация по сигнатуре, браузеру, ОС, IP и геолокации

• быстрая изоляция трафика по типам (видео, почта, веб и др.), устройствам, ОС, оператору

• обнаружение неизвестных приложений, администрирование по запросу

• отчётность по потреблению полосы пропускания приложениями и странами

• база более 1000 приложений, регулярные обновления

• без необходимости постоянной ручной настройки RegEx

2) Геолокация и тегирование

• фильтрация по региону/стране/городу (часто — с широтой/долготой)

• быстрые настройки без ручных сценариев

• поддержка пользовательских локаций (например, частные IP-адреса)

3) RegEx (опционально)

• расширенный контроль и настройка поверх прочих механизмов

• преднастроенные совпадения для типовых чувствительных данных (Taxpayer ID, номера участников, распространённые номера кредитных карт)

• выделение писем от потенциально скомпрометированных учётных записей

4) NetFlow/IPFIX/JSON и обогащение метаданными

• добавление геоданных (регион, IP, широта, город)

• данные об ОС, устройстве, браузере, SSL/TLS-шифрах

• детализация по подписчикам: приложение и тип устройства для мобильных пользователей

• метаданные HTTP URL и hostname для веб-активности

• метаданные HTTP и DNS для быстрого обнаружения вторжений

• отслеживание транзакционных задержек для контроля производительности приложений

• генерация NetFlow/IPFIX без нагрузки на маршрутизаторы и сетевые устройства

• высокая производительность: более 300 000 TCP-сессий/сек

• поддержка NetFlow v9, IPFIX и JSON

• до 10 коллекторов NetFlow

• эмуляция устройств для разгрузки маршрутизаторов (с передачей исходного OID и ID интерфейса)

5) Захват пакетов

• быстрый выбор и анализ нужного фрагмента трафика по фильтрам (страна, приложение, браузер, устройство и т.д.)

• проверка корректности фильтров через захват и валидацию данных

• до 10 выборок с частотой дискретизации 100 МБ/с каждая

• выгрузка захвата на рабочую станцию

• захват на линейной скорости до 30 Гбит/с

6) Подписка на обновления сигнатур

Подписка обеспечивает обновления базы сигнатур приложений и карты геолокации. Фильтры по группам приложений автоматически расширяются по мере появления новых приложений.

Режим соответствия FIPS DoD

При включении политик безопасности уровня DoD:
• ограничение пользователя одной HTTPS-сессией

• аннулирование сессий, превышающих заданный период бездействия

Совместимость и варианты поставки

AppStack доступен для платформ: Keysight Vision X, Vision ONE, Vision 7300, CloudLens.

Vision ONE — лицензии и подписки (основное)

Шасси

• SYS-V148PX-AC

• SYS-V116PX8PGAC-2

• SYS-V148PX-DC

• SYS-V116PX8PGDC

Подписки (1 год)

• SUB-V1-SSAS — подписка SecureStack + AppStack, включая обновления сигнатур (993-0113)

• SUB-V1-SSAS-APFL — подписка на идентификацию/фильтрацию/геолокацию/тегирование + RegEx (993-0334)

• SUB-V1-SSAS-NTFL — подписка на генерацию метаданных (993-0335)

• SUB-V1-APTL2 — подписка на идентификацию/фильтрацию/геолокацию/тегирование + обновления сигнатур (993-0112)

Постоянные лицензии

• LIC-V1-APFL — фильтрация приложений, маскирование, RegEx (993-0330)

• LIC-V1-NTFL — генерация метаданных (993-0331)

Аппаратное включение

• LIC-V1-SSAS-E — entry-level (993-0101)

• LIC-V1-SSAS-F — полная производительность (993-0102)

• LIC-V1-SSAS-U — апгрейд с entry-level до полной производительности (993-0104)

Комплекты (система + лицензии)

• SYS-V14PX16PGAC

• SYS-V1FCP8X4PXAC

Vision X — лицензии и подписки (основное)

Шасси

• SYSVX-BASE-AC

• SYSVX-BASE-DC

Модуль

• MVX-AM4PC — модуль App (4×100G), лицензии портов и функций отдельно (991-8102)

Подписки (1 год)

• SUB-VX-SSAS — AppStack, лицензируется на 1 CPU на модуле (макс. 2 на модуль) (993-9617)

• SUB-VX-SSAS-APFL — идентификация/маскирование/RegEx (1 CPU-инстанция) (993-0336)

• SUB-VX-SSAS-NTFL — генерация метаданных (1 CPU-инстанция) (993-0337)

• SUB-VX-APTL — подписка на обновления сигнатур (993-9612)

Постоянные лицензии

• LIC-VX-SSAS — AppStack perpetual (993-9611)

• LIC-VX-SSAS-APFL — perpetual: фильтрация/маскирование/RegEx (993-0332)

• LIC-VX-SSAS-NTFL — perpetual: генерация метаданных (993-0333)

• LIC-VX-MSMD — поддержка генерации метаданных MobileStack (макс. 1 на шасси)

Vision 7300 — лицензии и подписки (основное)

Шасси

• SYS7300-STD

Модуль

• M7300-SSAS-48PX — AppStack + SecureStack (SSL/TLS), 48 портов SFP+ (992-0050)

Подписки (1 год)

• SUB-7300-SSAS — SecureStack + AppStack + обновления сигнатур (993-0049)

• SUB-7300-APTL — подписка AppStack на первый год для каждой линейной карты, обновления сигнатур (993-0077)

Постоянные лицензии

• LIC-7300-APPS — add-on perpetual: фильтрация/NetFlow/маскирование/RegEx/внеполосное SSL/TLS (993-0140)

• LIC-7300-SSAS-F — лицензия панели на полной производительности (993-0141)

Захват пакетов

• M7300-PCM-48PX — модуль Packet Capture, 48 портов SFP+ (992-0051)

CloudLens — лицензирование (без дешифрования SSL)

Опции Virtual Tapping

• LIC-CL-VTAP-10

• LIC-CL-VTAP-50

• LIC-CL-VTAP-100

• LIC-CL-VTAP-250

• LIC-CL-VTAP-1000

Подписка

• SUB-CL-AS-1-F — AppStack, полный набор функций, 1 инстанс (954-4064)

• 909-5021 — продление подписки (909-5021)

Постоянная лицензия

• LIC-CL-AS-1-F — полный набор функций, 1 инстанс (954-4065)

Технические характеристики (для M7300-SSAS-48PX)

Производительность

• все порты двунаправленные, полностью неблокирующие

• полная линейная скорость на всех портах при включённой фильтрации

Управление

• SNMP v1/v2/v3

• Local, RADIUS, TACACS+ (учётные записи и группы)

• гранулированный контроль доступа

• журналирование событий

• Syslog

• автоматизация через веб-API

Физические параметры

• форм-фактор: 1U для шасси 19"

• габариты: 17.5 × 15 × 1.75 дюйма

• масса: 17.0 фунтов (7.7 кг)

Питание

• входное напряжение: 40–60 VDC

• номинальный ток: 4.15 A при 53 VDC (220 W)

• максимальный ток: 5.5 A при 40 VDC (220 W max)

• тепловыделение/потребление при 100% нагрузке: до 220 W / 751 BTU/час

Условия эксплуатации

• температура: рабочая 5…40 °C; кратковременно −5…55 °C (до 96 часов); при отказе вентиляции кратковременно −5…40 °C (до 96 часов)

• влажность: рабочая 5…85% без конденсации; кратковременно 5…90% без конденсации (до 96 часов)