Recursos do Data Exchange Layer

O Data Exchange Layer inclui os seguintes recursos:

Sem reconhecimento de local

A comunicação entre clientes na malha DXL se baseia no envio de “mensagens” para um “tópico”. Os clientes não sabem onde estão os outros clientes do DXL com os quais estão se comunicando (nome de host, endereço IP, etc.).

Por exemplo, se um cliente quisesse determinar a reputação de um arquivo, ele poderia enviar uma mensagem de solicitação para o tópico /mcafee/service/tie/file/reputation. Um serviço receberia a solicitação e enviaria uma resposta com as informações de reputação apropriadas. Toda essa comunicação ocorre sem que nenhuma das partes saiba a localização da outra (elas podem estar no mesmo prédio ou cada uma em um lado do mundo).

Conexão persistente

As conexões são estabelecidas de um cliente DXL para um intermediário DXL. Elas são persistentes e permitem comunicação bidirecional. As vantagens desse estilo de conexão incluem:

  • Colaboração com o firewall: os clientes são responsáveis por estabelecer a conexão com os intermediários, e não o contrário. Sendo assim, nós podemos nos comunicar com clientes que até então não podiam ser contatados. Por exemplo, um cliente móvel pode se conectar a um intermediário exposto em uma zona desmilitarizada (DMZ). Como a comunicação é bidirecional, agora nós podemos nos comunicar com o cliente de produtos para servidores da McAfee que também estejam conectados à malha (enviando uma ativação de agente para o Cloud ePO, etc.).

  • Comunicação praticamente em tempo real: a comunicação na malha DXL é extremamente eficiente, porque o trabalho de estabelecer conexões continuamente é eliminado.

Diversos modelos de comunicação

O DXL permite dois modelos diferentes de comunicação: um modelo baseado em serviços com comunicação ponto a ponto (solicitação/resposta) e um modelo de publicação/assinatura baseado em eventos.

  • Baseado em serviços: a malha DXL permite registrar e expor serviços que respondem a solicitações enviadas por clientes. Essa comunicação é ponto a ponto (um a um), ou seja, se dá inteiramente entre um cliente e o serviço chamado. Nesse modelo, o cliente chama ativamente o serviço enviando solicitações a ele. Por exemplo, o serviço McAfee Threat Intelligence Exchange é exposto via DXL, permitindo que clientes DXL solicitem a reputação de arquivos e certificados.

  • Baseado em eventos: a malha DXL também permite comunicação baseada em eventos. Esse modelo é conhecido como modelo de “publicação/assinatura”, e nele os clientes registram seu interesse assinando um tópico específico, que receberá eventos de editores periodicamente. O evento é enviado para a malha DXL para que todos os clientes assinantes do tópico o recebam. Dessa forma, um único evento pode atingir vários clientes (constituindo um modelo de um para muitos). Nesse modelo, o cliente recebe passivamente eventos enviados por um editor. Por exemplo: ao determinar a reputação de um arquivo, os servidores do McAfee Advanced Threat Defense enviam eventos para o tópico /mcafee/event/atd/file/report. Todos os clientes assinantes desse tópico receberão o relatório (o McAfee Threat Intelligence Exchange Server e o McAfee Enterprise Security Manager são assinantes desse tópico).

Comunicação segura

A comunicação pela malha DXL é protegida via TLS versão 1.2 e autenticação mútua de PKI. A malha também tem suporte a autorização em nível de tópico para restringir os clientes que podem publicar mensagens em um tópico e os que podem receber mensagens de um tópico específico.

Por exemplo, os clientes DXL integrados aos servidores Threat Intelligence Exchange são os únicos autorizados a publicar eventos de alteração de reputação no tópico /mcafee/event/tie/file/repchange.