Funktionen des Data Exchange Layer

Die Sicherheitssoftware Data Exchange Layer (DXL)-Version 5.0 umfasst folgende Funktionen:

  • Erweiterte Integration: DXL ist eine im Hintergrund agierende Kommunikationsebene für das MVISION-Portfolio, das den Austausch von Informationen und Aktionen vom Gerät bis zur Cloud erlaubt.
  • Wirklich offenes Ökosystem: Mit der abschließenden Open-Source-Komponente von OpenDXL, dem OpenDXL Source Broker, erhalten Sie die notwendige offene Ökosystem-Zusammenarbeit und Flexibilität.
  • Senkung der Infrastruktur-Anforderungen: Mit dem Windows-Broker kann DXL auf McAfee ePolicy Orchestrator installiert werden, sodass keine zusätzliche Infrastruktur erforderlich ist. Der McAfee Agent beherrscht jetzt auch DXL-Verbindungen, sodass keine separate Installation mehr erforderlich ist.

Standorttransparenz

Die Kommunikation zwischen den Clients, die in die DXL-Struktur eingebunden sind, basiert auf dem Versand von "Meldungen" an ein "Thema". Dabei müssen die Clients weder den Standort der anderen DXL-Clients, mit denen sie kommunizieren, noch den Host-Name, die IP-Adresse und andere identifizierbare Informationen kennen.

Wenn ein Client zum Beispiel die Reputation einer Datei bestimmen möchte, kann er eine Anfragemeldung an das Thema "/mcafee/service/tie/file/reputation" senden. Ein Service empfängt die Anfrage und sendet eine Antwort mit den entsprechenden Reputationsinformationen. Bei der gesamten Kommunikation kennt keine der beteiligten Parteien den Standort der anderen Partei. Sie könnten sich im selben Gebäude oder aber auch auf der anderen Seite der Erde befinden.

Dauerhafte Verbindung

Verbindungen werden von einem DXL-Client zu einem DXL-Broker hergestellt. Diese Verbindungen sind dauerhaft und ermöglichen eine bidirektionale Kommunikation. Diese Art der Verbindung hat folgende Vorteile:

  • Firewall-Unterstützung: Die Verbindung zu den Brokern wird ausgehend von den Clients hergestellt (niemals von einem Broker zu einem Client). Deshalb können wir mit Clients kommunizieren, die vorher unerreichbar waren. Ein mobiler Client kann zum Beispiel eine Verbindung zu einem Broker herstellen, der in einer demilitarisierten Zone (DMZ) genutzt wird. Aufgrund der bidirektionalen Kommunikation können wir jetzt über McAfee-Server-Produkte, die ebenfalls mit der Struktur verbunden sind, mit dem Client kommunizieren (z. B. Versand einer Agentenreaktivierung für Cloud ePO).
  • Kommunikation nahezu in Echtzeit: Die Kommunikation über die DXL-Struktur ist sehr effizient, da der ständige Verbindungsaufbau wegfällt.

Mehrere Kommunikationsmodelle

DXL unterstützt zwei unterschiedliche Kommunikationsmodelle: ein Service-basiertes Modell mit Punkt-zu-Punkt-Kommunikation (Anfrage/Antwort) und ein ereignisbasiertes Modell (Veröffentlichen/Abonnieren).

  • Service-basiert: Die DXL-Struktur ermöglicht die Registrierung und Nutzung von Services, die auf die Anfragen von aufrufenden Clients reagieren. Diese Kommunikation erfolgt von Punkt zu Punkt (1-zu-1), d. h. sie findet nur zwischen einem aufrufenden Client und dem Service statt, der aufgerufen wird. In diesem Modell ruft der Client den Service aktiv auf, indem er Anfragen an den Service sendet. Der McAfee Threat Intelligence Exchange-Service wird beispielsweise per DXL genutzt, wodurch DXL-Clients Reputationsinformationen zu Dateien und Zertifikaten anfordern können.
  • Ereignisbasiert: Die DXL-Struktur ermöglicht auch ereignisbasierte Kommunikation. Dieses Modell wird auch als "Veröffentlichen/Abonnieren"-Modell bezeichnet, bei dem Clients ihr Interesse an einem Thema anmelden, indem sie es abonnieren, und Anbieter in regelmäßigen Abständen Ereignisse an dieses Thema senden. Das Ereignis wird über die DXL-Struktur an alle Clients gemeldet, die das Thema derzeit abonniert haben. Die Information zu einem Ereignis kann also an mehrere Clients gesendet werden (1-zu-viele). Bei diesem Modell empfängt der Client die Ereignisinformationen passiv, sobald diese von einem Anbieter gesendet werden. So veröffentlichen McAfee Advanced Threat Defense-Server beispielsweise Informationen zu Ereignissen an das Thema "/mcafee/event/atd/file/report", wenn sie die Reputation einer Datei erfolgreich bestimmt haben. Alle Clients, die dieses Thema derzeit abonniert haben, erhalten den Bericht (derzeit haben McAfee Threat Intelligence Exchange Server und McAfee Enterprise Security Manager dieses Thema abonniert).

Sichere Kommunikation

Die Kommunikation über die DXL-Struktur wird per TLS-Version 1.2 und gemeinsamer PKI-Authentifizierung gesichert. Darüber hinaus unterstützt die Struktur auch Autorisierung auf Themenebene und kann so einschränken, welche Clients Meldungen an ein Thema veröffentlichen und welche Clients Meldungen zu einem bestimmten Thema empfangen dürfen.

So sind die in die Threat Intelligence Exchange-Server eingebetteten DXL-Clients beispielsweise die einzigen Clients, die Reputationsänderungen an das Thema " /mcafee/event/tie/file/repchange" veröffentlichen dürfen.