Funciones de Data Exchange Layer

Data Exchange Layer (DXL) 4.0 incorpora las siguientes funciones:

  • Integración sencilla de pxGrid: una sola descarga incluye todo el software necesario para conectar DXL y pxGrid y para definir directivas automáticas de respuesta a amenazas potenciales.
  • Automatización de la respuesta ante incidentes: McAfee ePolicy Orchestrator (McAfee ePO) reacciona de forma automática ante eventos de amenazas, envía la información a DXL y este la disemina a los productos conectados para que actúen.
  • Administración mejorada: se han simplificado la configuración de clientes y las actualizaciones de procesos con la nueva extensión de DXL para McAfee ePO y las mejoras en los clientes.

Estas funciones nuevas refuerzan el diseño distintivo de la estructura de comunicaciones de DXL:

Desconocimiento de la ubicación

La comunicación entre los clientes que forman parte de la estructura DXL se basa en el envío de "mensajes" a un "tema". Los clientes no tienen por qué conocer la ubicación de otros clientes DXL con los que se comunican, ni el nombre de host, la dirección IP u otra información de identificación.

Por ejemplo, si un cliente desea conocer la reputación de un archivo, envía un mensaje de solicitud al tema /mcafee/service/tie/file/reputation. Un servicio recibe la solicitud y envía la respuesta con la información sobre la reputación. Toda esta comunicación se produce sin que ninguno de los involucrados conozca la ubicación del otro (podrían estar en el mismo edificio o al otro lado del mundo).

Conexiones persistentes

Las conexiones se establecen desde un cliente DXL a un agente DXL. Estas conexiones son persistentes y permiten que la comunicación sea bidireccional. Las ventajas de este tipo de conexión son:

  • Firewall fácil de usar: los clientes son los que establecen la conexión con los agentes (nunca se establece desde un agente a un cliente). Por tanto, es posible comunicarse con clientes que antes eran inalcanzables. Por ejemplo, un cliente móvil puede conectarse a un agente que se encuentra en una zona desmilitarizada (DMZ). Dado que la comunicación es bidireccional, ahora podemos comunicarnos con los clientes desde los productos de McAfee para servidores que también estén conectados a la estructura (activar el agente para ePO Cloud, etc.).
  • Comunicación casi en tiempo real: la comunicación en la estructura DXL es muy eficiente dado que se eliminan los gastos de establecimiento continuo de conexiones.

Varios modelos de comunicación

Data Exchange Layer admite dos modelos distintos de comunicación: uno de servicio con comunicación punto a punto (solicitud/respuesta) y otro de eventos (publicación/suscripción).

  • Modelo de servicio: la estructura DXL permite que se registren y presenten los servicios que dan respuesta a las solicitudes enviadas por los clientes que los invocan. Esta comunicación es punto a punto (uno a uno), es decir, se establece exclusivamente entre el cliente que invoca y el servicio invocado. En este modelo, el cliente invoca el servicio de forma activa enviándole solicitudes. Por ejemplo, el servicio McAfee Threat Intelligence Exchange se presenta mediante Data Exchange Layer de forma que los clientes DXL pueden preguntar por la reputación de archivos y certificados.
  • Modelo de eventos: la estructura DXL también admite la conexión basada en eventos. Este modelo habitualmente se llama "publicación/suscripción". En él, los clientes registran su interés suscribiéndose a un tema y los publicadores envían eventos a ese tema de forma periódica. Un evento se envía a través de la estructura DXL a todos los clientes que estén suscritos a ese tema, de forma que un solo evento enviado llega a muchos clientes (uno a muchos). En este modelo, el cliente recibe eventos de forma pasiva cuando el publicador los envía. Por ejemplo, los servidores McAfee Advanced Threat Defense envían eventos al tema /mcafee/event/atd/file/report cuando han determinado correctamente la reputación de un archivo. Todos los clientes suscritos a ese tema recibirán el informe (McAfee Threat Intelligence Exchange Server y McAfee Enterprise Security Manager están suscritos a este tema).

Comunicación segura

La comunicación a través de la estructura DXL está protegida por TLS versión 1.2 y la autenticación bidireccional PKI. La estructura también admite la autorización por tema para definir qué clientes pueden publicar mensajes en un tema o qué clientes pueden recibirlos sobre un tema determinado.

Por ejemplo, los clientes DXL integrados en los servidores Threat Intelligence Exchange son los únicos autorizados para publicar eventos de cambio en la reputación en el tema /mcafee/event/tie/file/repchange.