2019年10月24日木曜日

フローコレクター(NetFlow, xFlowの収集・分析システム)導入が必要な5つの理由

弊社が公開してきたNetFlow, xFlow関連記事を集めてみました。

文:ジュピターテクノロジー よしひろ


これらの記事を読んで頂ければ、きっとNetFlow,xFlowを収集・活用してみようか?と思った読者の方もいらっしゃるのではないでしょうか?
NetFlow、xFlowはなぜ再度注目されつつあるのか?でフローデータを収集する必要性について解説しました。
今回の記事ではNetFlow, xFlowを収集、分析、視覚化をサポートするシステムであるフローコレクター導入を推奨する理由を5つ紹介したいと思います。

フローコレクター導入イメージ図

理由1. 帯域幅の効率的な利用とネットワーク更改の計画に活用できる

xFlowデータの分析はQoSおよびサービスのトラフィックを視覚化し、迅速なxFlowデータ分析を可能にします。
より効果的なQoSポリシーの実装を提案し適切に実装されているかどうかを検証するのに活用出来ます。
トラフィックの視覚化により、ネットワークエンジニアはトラフィックのルーティング変更のアイデアを見つけ、リソースの使用を最適化出来ます。
フローコレクターが提供するチャートはトラフィックが高すぎるまたは低すぎるといった場合、不要なトラフィックを拒否し必要なトラフィックを許可するといったルール策定のヒントとなります。
xFlowデータはネットワークの拡張や縮小を正確に計画するのに役立つ有効なソリューションです。
フローコレクターが帯域幅の制限に到達すると警告する場合、これは帯域幅の増幅について検討するきっかけとなります。

理由2.トラフィック全体を監視、アプリケーションの配分を管理できる

xFlowデータをいくつかのコア機器またはディストリビューション機器からエクスポートし重複排除を有効にすると内部、外部、ISPの通過トラフィック(ネットワーク間)を含むネットワークの総トラフィックを表示出来ます。
フローコレクター導入最大の利点の1つとして、xFlowデータセットが提供するフィールドに基づいた特定のトラフィックセグメントをカスタム定義できます。
1例としてインターネットHTTP / HTTPSトラフィックを分離出来ます。
xFlowは、リモートオフィスの各拠点でセンサーやプローブを購入してインストールするのではなく既存のルータを活用することが出来ます。
ネットワークのIPアドレス範囲(サブネット)に基づいてトラフィックを表示することにより、地域、特定の拠点、部門ごとのトラフィックを分割して簡単に表示することが出来ます。
SNMPレポートは総トラフィックを表示するのに適していますが、トラフィックを使用しているユーザーとその流量は表示出来ません。
一方、xFlowは重要なアプリケーションが必要な帯域幅を使ってユーザーに必要な可用性を提供しているかどうかを示すことが出来ます。
この機能はアプリケーションの信頼性が向上し、SLAを達成するのに役立ちます。
フローコレクターを使用してアプリケーションを監視し、誰と誰が通信しているか(トラフィックの送信元と送信先)を特定し適切なアプリケーションのQoSポリシーの実装を可能にします。
ホストまたはユーザーによるアプリケーション通信を確認した結果、不要な通信があるかどうかが明確になり無制限のアクセスを確認、ポリシーの実装をサポートしセキュリティ問題に対処できます。

理由3.ネットワークの利用者を理解できる

IPアドレスをユーザー名にマッピングすることは、エラーが発生しやすくかつ時間がかかる作業です。
ある時間中のIPアドレスの使用を特定のユーザー名に自動的に関連付けることにより、このプロセスを効率化します。
従業員はネットワークの利用に関して様々なニーズを持っています。
フローコレクターによりエンジニアはQoSポリシーを簡単に予測し、ユーザーごとにリソースを最適化することが出来ます。
従業員の望ましくないコンテンツへのアクセスは、ネットワークをマルウェアや機器の乗っ取りのリスクに間接的にさらします。
エンドユーザートラフィック機能は、ユーザーが通信したIPアドレス(Facebook、YouTube等)、ユーザーが使用したサービス(slack、torrent等)などをフィルタし企業のネットワーク運用をサポートします。

理由4.セキュリティを意識できる

分散型サービス拒否攻撃(DDoS)やデータ漏洩などがますます高度になり、検出がより困難になってきました。
従来侵入検知システム(IDS)はマルウェアといった悪意のあるトラフィックを除外する為に活用されてきました。
しかしIDSのシグネチャが最新でない可能性がある為(ゼロデイ攻撃)、ネットワーク侵入の可能性を残しています。
このような攻撃はトラフィックの異常として検知出来ますが、トラフィックを分析する必要があります。
フローコレクターは、潜在的な攻撃に対する準備をするのに活用出来ます。
例えばポートスキャンは、実行中のサービスを発見し弱点を突破する方法を明らかにすることによりネットワーク構成を調査します。
フローコレクターは異常なポート使用を見つけて、複数のIPが異常なプロトコル(TCPフラグSなど)を受信したかどうかを表示及び確認することが出来ます。

理由5.対処時間を短縮できる

アラート情報を収集・分析して根本原因を発見し、様々な可能性を評価してアクションを決定するのは時間を要します。
フローコレクターはネットワークで発生している機器(ホスト(帯域幅を使用している人)とその相互通信(何をしているのか)及びどのルート、ポート、プロトコルなのか?を可視化することにより、問題原因に関するヒントを得ることが出来ます。
トラフィックベースのアラームを設定してインターフェイス、重要なサービス、エンドユーザーといった特定のトラフィックが増加したタイミングで通知することも出来ます。
フローコレクターは、他の監視ツールを補完して各イベントの理解を高めることができます。

上記の5つの理由により企業はフローコレクターを利用してネットワークとアプリケーションを最適化、ネットワーク拡張と縮小を計画、トラブルシューティングと診断に必要な時間を節約しセキュリティを向上させることが出来ます。

弊社では、以下の特徴を持ったntop社のntopngという製品を販売しております。
  • リアルタイム分析
  • アプリケーション分析
  • L2,L7サポート
  • フローコレクター
  • 脅威検知
※画像をクリックすると製品ページにジャンプします



ご興味のある方は以下のリンクから弊社までお問い合わせください。