Funktionen des Data Exchange Layer

Der Data Exchange Layer umfasst folgende Funktionen:

Ohne Standorterkennung

Die Kommunikation zwischen den Clients, die in die DXL-Struktur eingebunden sind, basiert auf dem Versand von "Meldungen" an ein "Thema". Dabei kennen die Clients den Standort der anderen DXL-Clients nicht, mit denen sie kommunizieren (Hostname, IP-Adresse usw.).

Wenn ein Client zum Beispiel die Reputation einer Datei bestimmen möchte, kann er eine Anfragemeldung an das Thema "/mcafee/service/tie/file/reputation" senden. Ein Service empfängt die Anfrage und sendet eine Antwort mit den entsprechenden Reputationsinformationen. Bei der gesamten Kommunikation kennt keine der beteiligten Parteien den Standort der anderen Partei. Sie könnten sich im selben Gebäude oder aber auch auf der anderen Seite der Erde befinden.

Dauerhafte Verbindung

Verbindungen werden von einem DXL-Client zu einem DXL-Broker hergestellt. Diese Verbindungen sind dauerhaft und ermöglichen eine bidirektionale Kommunikation. Diese Art der Verbindung hat folgende Vorteile:

  • Firewall-Unterstützung: Die Verbindung zu den Brokern wird ausgehend von den Clients hergestellt (niemals von einem Broker zu einem Client). Deshalb können wir mit Clients kommunizieren, die vorher unerreichbar waren. Ein mobiler Client kann zum Beispiel eine Verbindung zu einem Broker herstellen, der in einer demilitarisierten Zone (DMZ) genutzt wird. Aufgrund der bidirektionalen Kommunikation können wir jetzt über McAfee-Server-Produkte mit dem Client kommunizieren, die ebenfalls mit der Struktur verbunden sind (z. B. Versand einer Agentenreaktivierung für Cloud ePO).

  • Kommunikation nahezu in Echtzeit: Die Kommunikation über die DXL-Struktur ist sehr effizient, da der ständige Verbindungsaufbau wegfällt.

Mehrere Kommunikationsmodelle

DXL unterstützt zwei unterschiedliche Kommunikationsmodelle: ein Service-basiertes Modell mit Punkt-zu-Punkt-Kommunikation (Anfrage/Antwort) und ein ereignisbasiertes Modell (Veröffentlichen/Abonnieren).

  • Service-basiert: Die DXL-Struktur ermöglicht die Registrierung und Nutzung von Services, die auf die Anfragen von aufrufenden Clients reagieren. Diese Kommunikation erfolgt von Punkt zu Punkt (1-zu-1), d. h. sie findet nur zwischen einem aufrufenden Client und dem Service statt, der aufgerufen wird. In diesem Modell ruft der Client den Service aktiv auf, indem er Anfragen an den Service sendet. Der McAfee Threat Intelligence Exchange-Service wird beispielsweise per DXL genutzt, wodurch DXL-Clients Reputationsinformationen zu Dateien und Zertifikaten anfordern können.

  • Ereignisbasiert: Die DXL-Struktur ermöglicht auch ereignisbasierte Kommunikation. Dieses Modell wird auch als "Veröffentlichen/Abonnieren"-Modell bezeichnet, bei dem Clients ihr Interesse an einem bestimmten Thema anmelden, indem sie es abonnieren, und Anbieter in regelmäßigen Abständen Ereignisse an dieses Thema senden. Das Ereignis wird über die DXL-Struktur an alle Clients gemeldet, die das Thema derzeit abonniert haben. Die Information zu einem Ereignis kann also an mehrere Clients gesendet werden (1-zu-viele). Bei diesem Modell empfängt der Client die Ereignisinformationen passiv, sobald diese von einem Anbieter gesendet werden. So veröffentlichen McAfee Advanced Threat Defense-Server beispielsweise Informationen zu Ereignissen an das Thema "/mcafee/event/atd/file/report", wenn sie die Reputation einer Datei erfolgreich bestimmt haben. Alle Clients, die dieses Thema derzeit abonniert haben, erhalten den Bericht (derzeit haben McAfee Threat Intelligence Exchange-Server und McAfee Enterprise Security Manager dieses Thema abonniert).

Sichere Kommunikation

Die Kommunikation über die DXL-Struktur wird per TLS-Version 1.2 und gemeinsamer PKI-Authentifizierung gesichert. Darüber hinaus unterstützt die Struktur auch Autorisierung auf Themenebene und kann so einschränken, welche Clients Meldungen an ein Thema veröffentlichen und welche Clients Meldungen zu einem bestimmten Thema empfangen dürfen.

So sind die in die Threat Intelligence Exchange-Server eingebetteten DXL-Clients beispielsweise die einzigen Clients, die Reputationsänderungen an das Thema "/mcafee/event/tie/file/repchange" veröffentlichen dürfen.