Mitä on syvä pakettitarkastus?
Syvä pakettitarkastus (Deep Packet Inspection, DPI) tarkoittaa menetelmää, jossa datapakettien koko sisältö tutkitaan niiden kulkiessa valvotun verkon tarkistuspisteen kautta. Kun tavanomaiset pakettien tilantarkistuksen muodot arvioivat vain pakettien otsikkotietoja, kuten lähde-IP-osoitteen, kohde-IP-osoitteen ja portin numeron, syvä pakettitarkastus tarkastelee yksittäisiin paketteihin liittyviä täydellisempiä tietoja ja metatietoja. Syvä pakettitarkastus ei tarkastele ainoastaan paketin otsikon tietoja vaan myös paketin hyötykuorman sisältämää sisältöä.
Syväpakettitarkastuksen arvioima runsas tietomäärä tarjoaa vankemman mekanismin verkkopakettien suodatuksen toteuttamiseen, sillä DPI:n avulla voidaan tarkemmin tunnistaa ja estää erilaisia monimutkaisia uhkia, jotka piiloutuvat verkon tietovirtoihin, mm:
- haittaohjelmat
- tiedon siirtoyritykset
- sisältökäytäntöjen rikkomiset
- rikollinen komento- ja ohjausviestintä
Pakettien syvätarkastusominaisuudet on kehitetty voittamaan perinteisten, tilatietopakettien tarkastukseen perustuvien palomuurien rajoitukset. Ymmärtääksesi syväpakettitarkastuksen tarjoaman edistysaskeleen voit ajatella sitä lentokenttien turvallisuuden kannalta.
Tilannekohtainen pakettien suodatus olisi kuin matkatavaroiden turvallisuuden varmistaminen tarkistamalla matkatavaroiden tunnisteet ja varmistamalla, että lähtö- ja kohdelentokentät vastaavat kirjattuja lennonumeroita. Sitä vastoin pakettien syvällisen tarkastuksen avulla tapahtuva suodatus olisi pikemminkin kuin laukkujen läpivalaisu, jolla varmistetaan, ettei niiden sisällä ole mitään vaarallista, ennen kuin ne ohjataan oikeille lennoille.
Pakettien syvällisen tarkastuksen käyttötapaukset
Liikennevirtojen analysointi pakettien syvällisen tarkastuksen avulla avaa useita uusia ja parannettuja tietoturva-käyttökohteita.
Haittaohjelmien estäminen
Kun syvä pakettitarkastus yhdistetään uhkien havaitsemisalgoritmeihin, sitä voidaan käyttää haittaohjelmien estämiseen ennen kuin ne vaarantavat päätelaitteet ja muut verkko-ominaisuudet. Tämä tarkoittaa, että sen avulla voidaan suodattaa lunnasohjelmien, virusten, vakoiluohjelmien ja matojen toiminta. Laajemmin ajateltuna se tarjoaa myös näkyvyyttä koko verkkoon, jota voidaan analysoida heuristiikan avulla epänormaalien liikennemallien tunnistamiseksi ja tietoturvaryhmien varoittamiseksi haitallisesta käyttäytymisestä, joka viittaa olemassa oleviin vaaratilanteisiin.
Tietovuodon pysäyttäminen
Syvää pakettitarkastusta voidaan käyttää paitsi saapuvaan liikenteeseen, myös lähtevään verkkotoimintaan. Tämä tarkoittaa, että organisaatiot voivat käyttää tätä analyysia suodattimien asettamiseen, jotta ne voivat pysäyttää ulkoisten hyökkääjien tiedonsiirtoyritykset tai mahdolliset tietovuodot, joita aiheuttavat sekä pahantahtoiset että huolimattomat sisäpiiriläiset.
Sisältökäytäntöjen noudattamisen valvonta
Syväpakettitarkastuksen tuoman lisänäkyvyyden ansiosta organisaatiot voivat estää tai rajoittaa pääsyä riskialttiisiin tai luvattomiin sovelluksiin, kuten vertaisverkosta ladattaviin ohjelmiin. Vastaavasti DPI:n tarjoama syvempi analyysi avaa organisaatioille väylän estää käytäntöjä rikkovat käyttötavat tai estää luvaton tiedonsaanti yrityksen hyväksymien sovellusten sisällä
Turvallinen web-gateway-palvelu
Täysin hallittu web- ja Internet-turvallisuus SD-WAN:iin, liikkuvuuteen ja pilvipalveluihin.
Lisätietoja
DPI:n edut ja haasteet
DPI:n luotausanalyysin tarjoama lisänäkyvyys auttaa IT-tiimejä panemaan täytäntöön kattavampia ja yksityiskohtaisempia kyberturvallisuuskäytäntöjä. Tämän vuoksi monet palomuuritoimittajat ovat vuosien varrella pyrkineet lisäämään sen ominaisuusluetteloihinsa.
Monet organisaatiot ovat kuitenkin havainneet, että DPI:n ottaminen käyttöön palomuurilaitteissa aiheuttaa usein kohtuuttomia verkon pullonkauloja ja suorituskyvyn heikkenemistä. Ensinnäkin nämä paikalliset laitteet on sidottu yritysverkkoihin, ja ne vaativat organisaatioita kuljettamaan etäkäyttäjien liikennettä tämän infrastruktuurin kautta, jotta paketit voivat käydä DPI-tarkastuspisteiden läpi. Tämä aiheuttaa valtavaa viivettä kasvavalle käyttäjäkunnalle, ja se on yhä vaikeampi toteuttaa, koska monet yritykset ovat joutuneet tukemaan täysin hajautettuja työntekijöitä. Lisäksi nämä suorituskykyongelmat kannustavat todennäköisesti monia käyttäjiä ja osastoja jättämään tarkastuksen kokonaan väliin. Kun nämä käyttäjät ottavat yhteyden pilvi- ja verkkoresursseihin suoraan ilman VPN-yhteyttä, he päätyvät ohittamaan verkon reuna-alueen suojaukset kokonaan.
Ja sitten on vielä salatun liikenteen haaste. Vaikka jotkin palomuurit väittävät voivansa suorittaa HTTPS-liikenteelle pakettitarkastuksen (deep packet inspection), tietojen purkaminen ja tarkastaminen liikennevirtojen yhteydessä on prosessori-intensiivistä toimintaa, joka kuormittaa monia laitteistopohjaisia tietoturvalaitteita. Tämän vuoksi ylläpitäjät päättävät usein kytkeä tämän toiminnon pois päältä palomuureistaan.
Tämä jättää valtavan verkon näkyvyyteen liittyvän sokean pisteen, kun TLS/SSL:n yleisyys verkossa kasvaa. Alan nykyisten arvioiden mukaan jopa 95 prosenttia verkkotoiminnasta tapahtuu nykyään salattujen kanavien kautta. Hyökkääjät tiedostavat haasteet, joita heidän potentiaaliset uhrinsa kohtaavat laajentaessaan DPI-tarkastelua tähän liikenteeseen, minkä vuoksi noin kaksi kolmasosaa haittaohjelmista kätkeytyy nykyään HTTPS:n suojiin.
Tämän vuoksi organisaatiot, jotka haluavat hyötyä DPI:n eduista, pyrkivät yleensä etsimään teknisiä lisävälineitä toiminnallisuuden mahdollistamiseksi.
Miten suojatut verkkoyhteydet tarjoavat DPI-toiminnallisuutta
Tunnustaen, että palomuurit palvelevat edelleen arvokasta ensisijaista tarkoitusta verkon rajalla, monet organisaatiot kääntyvät pilvipohjaisten suojattujen verkkoyhteyksien puoleen auttaakseen niitä poistamaan syvän pakettitarkastuksen suorituskykytaakan näiltä laitteilta. Nämä verkkosuodattimet suojaavat käyttäjien lähtevää liikennettä, mieluiten käyttämällä DPI-toimintoja, joilla voidaan tutkia sekä HTTP- että HTTPS-liikennettä, jota käyttäjät tuottavat sijainnista riippumatta. Kun salattu ja etäkäyttäjien liikenne siirretään pilvipohjaisen suojatun verkkoväylän kautta, organisaatiot voivat skaalata DPI:n syväanalyysin liikennettä ilman, että se rasittaa nykyisiä laitteistopohjaisia laitteita.
Samoin tämä arkkitehtuuri helpottaa myös syväpakettitarkastuksen suorittamista yritysverkon rajojen ulkopuolella. Tämä tarjoaa organisaatioille johdonmukaisemman polun käytäntöjen täytäntöönpanoon, kun ne hallinnoivat tietoturvakäytäntöjä useissa toimipisteissä ja laajalle levinneessä etäkäyttäjäkannassa, joka on yhteydessä suoraan internetiin ja pilviresursseihin.