Vor der Bereitstellung von RSA NetWitness® Suite in Amazon Web Services (AWS) müssen Sie folgende Voraussetzungen erfüllen:
- Sie kennen die Anforderungen Ihres Unternehmens.
- Sie kennen den Umfang einer NetWitness Suite-Bereitstellung.
Wenn Sie bereit sind, mit der Bereitstellung zu beginnen, führen Sie folgende Schritte aus:
- Stellen Sie sicher, dass Sie über eine „Throughput“-Lizenz für NetWitness Suite verfügen.
-
Für die Paketerfassung in AWS können Sie eine der folgenden Lösungen von Drittanbietern erwerben. Wenn Sie sich für einen dieser Drittanbieter entscheiden, werden Ihnen ein Ansprechpartner und ein Professional Services-Techniker zugewiesen, die eng mit den RSA-Mitarbeitern zusammenarbeiten.
-
Gigamon® GigVUE 5.0
- f5BIG-IP 12.1.0
-
Empfehlungen zur AWS-Umgebung
AWS-Instanzen haben dieselbe Funktionalität wie die NetWitness Suite-Hardwarehosts. RSA empfiehlt, die folgenden Aufgaben bei der Einrichtung Ihrer AWS-Umgebung durchzuführen.
- Gehen Sie je nach Ressourcenanforderungen der einzelnen Komponenten bei der Nutzung des Systems gemäß bewährten Vorgehensweisen vor und weisen Sie Elastic Block Store (EBS)-Volumes entsprechend zu.
- Vergewissern Sie sich, dass die Rechenkapazitäten eine Schreibgeschwindigkeit bieten, die um mindestens 10 % über der erforderlichen Erfassungs- und Verarbeitungsrate für die Bereitstellung liegt.
- Erstellen Sie das Concentrator-Verzeichnis für die Indexdatenbank auf der Provisioned IOPS-SSD.
Abkürzungen und andere in diesem Leitfaden verwendete Terminologie
Abkürzungen | Beschreibung |
AMI | Amazon Machine Image |
AWS | Amazon Web Services |
BYOL | „Bring your own“-Lizenzierung |
CPU | Zentrale Verarbeitungseinheit (Central Processing Unit) |
Dedizierte Instanz | Dedizierte AWS-Instanzen werden in einer VPC auf Hardware ausgeführt, die einem einzigen Kunden zugewiesen ist. Dedizierte Instanzen sind auf Hosthardwareebene physisch von Instanzen isoliert, die zu anderen AWS-Konten gehören. Möglicherweise nutzen dedizierte Instanzen Hardware gemeinsam mit anderen Instanzen des gleichen AWS-Kontos, die keine dedizierten Instanzen sind. Weitere Informationen zu dedizierten Instanzen finden Sie in der AWS-Dokumentation „Amazon EC2 – Dedicated Instances“ (https://aws.amazon.com/ec2/purchasing-options/dedicated-instances/). |
EBS- Optimierung | Eine für Amazon EBS optimierte Instanz verwendet einen optimierten Konfigurationsstapel und bietet zusätzliche, dedizierte Kapazität für Amazon EBS-I/Os. Diese Optimierung bietet für Ihre EBS-Volumes die beste Performance, da Konflikte zwischen Amazon EBS-I/Os und dem restlichen Datenverkehr von Ihrer Instanz minimiert werden. Weitere Informationen zu EBS-optimierten Instanzen finden Sie in der AWS-Dokumentation „Amazon EBS-optimierte Instances“ (http://docs.aws.amazon.com/AWSEC2/latest/UserGuide/EBSOptimized.html). |
EBS-Volume | Ein Elastic Block Store (EBS)-Volume ist ein hochverfügbarer und zuverlässiger Speichervolume, den Sie an alle laufenden Instanzen anhängen können, die sich in derselben Availability Zone befinden. Weitere Informationen zu EBS-Volumes finden Sie in der AWS-Dokumentation „Amazon EBS-Volumes“ (http://docs.aws.amazon.com/AWSEC2/latest/UserGuide/EBSVolumes.html). |
EC2-Instanz | Virtueller Server in der AWS Elastic Compute Cloud (EC2) für die Ausführung von Anwendungen in der AWS-Infrastruktur. Siehe auch Instanz. |
Optimierte Netzwerkfunktionen aktiviert | Die optimierten Netzwerkfunktionen bieten höhere Bandbreite, eine bessere PPS-Performance (Pakete pro Sekunde) sowie konsistent geringere Latenzen zwischen Instanzen. Wenn Ihre PPS-Rate die Obergrenze erreicht zu haben scheint, sollten Sie erwägen, auf die optimierten Netzwerkfunktionen umzusteigen, da Sie wahrscheinlich die oberen Schwellenwerte des Treibers der VM-Netzwerkschnittstelle (VIF) erreicht haben. Weitere Informationen zu optimierten Netzwerkfunktionen finden Sie in der AWS-Dokumentation „How do I enable and configure enhanced networking on my EC2 instances“ (https://aws.amazon.com/premiumsupport/knowledge-center/enable-configure-enhanced-networking/). |
EPS | Ereignisse pro Sekunde |
GB | Gigabyte. 1 GB = 1.000.000.000 Byte |
Gbit | Gigabit. 1 Gbit = 1.000.000.000 Bit. |
Gbit/s | Gigabit pro Sekunde oder Milliarden Bit pro Sekunde. Maßeinheit für die Bandbreite eines digitalen Datenübertragungsmediums, z. B. Glasfaser. |
GHz | Gigahertz. 1 GHz = 1.000.000.000 Hz |
HDD | Festplattenlaufwerk |
Instanz | Ein virtueller Host in AWS (d. h. eine virtuelle Maschine oder Server in der AWS-Infrastruktur, auf dem die Services oder Anwendungen ausgeführt werden). Siehe auch EC2-Instanz. |
Instanztyp | Gibt die erforderlichen CPU- und RAM-Werte für eine Instanz an. Weitere Informationen zu den Instanztypen finden Sie in der AWS-Dokumentation „Amazon EC2-Instance-Typen“ (https://aws.amazon.com/ec2/instance-types/). |
IOPS | Eingabe-/Ausgabevorgänge pro Sekunde (Input/Output Operations per Second). |
Mbit/s | Megabit pro Sekunde oder Millionen Bit pro Sekunde. Maßeinheit für die Bandbreite eines digitalen Datenübertragungsmediums, z. B. Glasfaser. |
Lokal | Lokale Hosts werden vor Ort auf Computern installiert und ausgeführt (nicht in AWS), d. h. im Gebäude des Unternehmens, das die Hosts verwendet. |
PPS | Pakete pro Sekunde |
RAM | Random Access Memory (auch als Arbeitsspeicher bezeichnet) |
Sicherheitsgruppe | Satz von Firewallregeln. Eine umfassende Liste der Ports, die Sie für alle NetWitness Suite-Komponenten einrichten müssen, finden Sie unter „Netzwerkarchitektur und Ports“ in RSA Link (https://community.rsa.com/docs/). |
SSD | Solid-State-Laufwerk |
Tag | Eine aussagekräftige Kennung für die AWS-Instanz. |
Tap-Anbieter | Netzwerk-Tapping-Anbieter |
vCPU | Virtual Central Processing Unit (auch als virtueller Prozessor bezeichnet) |
VM | Virtuelle Maschine |
VPC | Virtuelle Public Cloud |
vRAM | Virtual Random Access Memory (auch als virtueller Arbeitsspeicher bezeichnet) |
AWS-Bereitstellungsszenarien
Die folgenden Diagramme zeigen einige gängige Szenarien für die AWS-Bereitstellung. In den Diagrammen gilt Folgendes:
- GigaVUE Series (Gigamon®-Lösung) ist eine Agent-basierte Lösung, die Tunneling verwendet (implementiert vom NetWitness Suite-Administrator), um die Paketdatenerfassung in AWS zu erleichtern.
-
BIG-IP (f5®-Lösung) ist eine Lösung zum Lastenausgleich, die einen Packet Decoder verwendet, der als Sniffer fungiert (angepasst vom NetWitness Suite-Administrator), um die Paketdatenerfassung in AWS zu erleichtern.
- Decoder erfasst Paketdaten. Der Decoder erfasst, analysiert und rekonstruiert sämtlichen Netzwerkdatenverkehr der Ebenen 2 bis 7.
- Log Decoder sammelt Protokolle. Der Log Decoder sammelt Protokollereignisse aus Hunderten Geräten und Ereignisquellen.
-
Der Concentrator indiziert aus dem Netzwerk extrahierte Metadaten oder Protokolldaten und stellt sie für unternehmensweite Abfragen und Echtzeitanalysen zur Verfügung. Er erleichtert auch das Reporting und die Erzeugung von Warnmeldungen.
- NetWitness-Server hostet Respond, Reporting, Investigate, Live Content Management, Administration und andere Aspekte der Benutzeroberfläche.
Full NetWitness Suite Stack-VPC-Transparenz (Paketlösung)
Dieses Diagramm zeigt alle NetWitness Suite-Komponenten (Full Stack), die in AWS bereitgestellt werden.
Hybrid-Bereitstellung – Decoder und Log Decoder (Paketlösung)
In diesem Diagramm sind der Decoder und Log Decoder dargestellt, die in AWS bereitgestellt sind, sowie alle anderen NetWitness Suite Komponenten, die an Ihrem Standort bereitgestellt werden.
Hybrid-Bereitstellung – Decoder, Log Decoder und Concentrator (Paketlösung)
In diesem Diagramm sind der Decoder, Log Decoder und Concentrator dargestellt, die in AWS bereitgestellt sind, sowie alle anderen NetWitness Suite Komponenten, die an Ihrem Standort bereitgestellt werden.
Voraussetzungen
Bevor Sie mit der Integration beginnen, benötigen Sie Folgendes:
- Zugriff auf AWS-Konsole
- Weiterleitungsfähiges Netzwerk (und korrekte AWS-Sicherheitsgruppen) für die Container, die Daten an den NetWitness Suite-Decoder übertragen.
Unterstützte Services
RSA bietet die folgenden NetWitness Suite-Services.
- NetWitness-Server
- Archiver
- Broker
- Concentrator
- Event Stream Analysis
- Log Decoder
- Decoder
- Remote Log Collector