Data Exchange Layer 功能

Data Exchange Layer (DXL) 4.0 版本包含以下功能:

  • 简单 pxGrid 集成:简单下载包含连接 DXL 和 pxGrid 所需的所有软件,并设置自动化策略以应对潜在的威胁。
  • 自动事件响应:McAfee ePolicy Orchestrator (McAfee ePO) 自动对威胁事件做出反应,将数据发送到 DXL 并将信息传播到连接的产品以进行操作。
  • 改进管理:使用新的 DXL McAfee ePO 扩展和客户端增强功能简化客户端设置和进程更新。

这些新功能增强了 DXL 通信架构的独特设计:

位置透明性

DXL 架构上客户端之间的通信基于将“消息”发送至“主题”。客户端不需要知道与其通信的其他 DXL 客户端的位置、主机名、IP 地址和其他可识别信息。

例如,假如客户端希望确定文件的信誉,则可向主题 /mcafee/service/tie/file/reputation 发送请求消息。服务将接收请求并通过适当的信誉信息发送响应。所有该类通信都在所有参与方了解其他参与方位置的情况下进行(他们可能在同一建筑物中,也可能各在世界的另一端)。

持久性连接

建立从 DXL 客户端到 DXL 代理的连接。这些连接为持久性连接,并且允许双向通信。该类连接的优势包括:

  • 防火墙友好 - 客户端负责建立指向代理的连接(永远不会从代理指向客户端)。因此,我们可以和之前不可连接的客户端通信。例如,移动客户端可连接至出现在隔离区 (DMZ) 中的代理。由于通信为双向,我们现在可通过同样连接至架构的 McAfee 服务器产品和客户端通信(为 Cloud ePO 等发送代理唤醒等)。
  • 近实时通信 - DXL 架构上的通信非常有效,这是因为消除了持续建立连接的开销。

多种通信模型

DXL 支持两种不同的通信模型:采用点到点(请求/响应)通信的基于服务的模型,以及基于发布/订阅事件的模型。

  • 基于服务 - DXL 架构允许注册服务,并响应调用客户端的请求提供服务。该通信为点到点(一对一),意味着通信仅在调用客户端和正在调用的服务之间进行。在该模型中,客户端通过向其发送请求主动调用服务。例如,McAfee Threat Intelligence Exchange 服务经由 DXL 提供,让 DXL 客户端可以请求文件和证书的信誉。
  • 基于事件 - DXL 架构还允许基于事件的通信。该模型通常称为“发布/订阅”,其中客户端通过订阅主题来注册关注内容,并且发布者定期将事件发送至该主题。事件通过 DXL 架构提供给当前订阅主题的所有客户端,因此发送的单个事件可抵达多个客户端(一对多)。在该模型中,当发布者发出事件时,客户端被动接收事件。例如,在成功确定文件的信誉之后,McAfee Advanced Threat Defense 服务器将事件发送至主题 /mcafee/event/atd/file/report。任何当前订阅该主题的客户端都将收到报告(McAfee Threat Intelligence Exchange Server 和 McAfee Enterprise Security Manager 当前订阅该主题)。

安全通信

经由 DXL 架构的通信通过 TLS 版本 1.2 以及 PKI 相互身份验证得到保护。该架构还支持主题级别的身份验证,限制可向主题发布消息的客户端,以及可接收特定主题的消息的客户端。

例如,嵌入 Threat Intelligence Exchange 服务器的 DXL 客户端是唯一得到授权,可将信誉更改事件发布至主题 /mcafee/event/tie/file/repchange 的客户端。