Функции Data Exchange Layer

Версия Data Exchange Layer (DXL) 5.0 включает следующие функции:

  • усовершенствованная интеграция: DXL представляет собой служебный коммуникационный слой, позволяющий продуктам семейства MVISION обеспечивать обмен информацией и действиями между устройствами и облаком;
  • По-настоящему открытая экосистема: использование OpenDXL Source Broker — конечного компонента OpenDXL с открытым исходным кодом — обеспечивает взаимодействие и гибкость работы в рамках открытой экосистемы;
  • Сокращение объема необходимой инфраструктуры: использование брокера для Windows позволяет установить DXL на McAfee ePolicy Orchestrator, избавляя от необходимости приобретать дополнительные компоненты инфраструктуры. Механизм связи по DXL теперь также встроен в McAfee Agent, что избавляет от необходимости устанавливать отдельный механизм связи.
location-unaware

Независимость от местоположения

Связь между клиентами, объединенными уровнем DXL, осуществляется путем рассылки «сообщений» в «темы». Клиентам не нужно знать местоположение других клиентов DXL, с которыми они обмениваются информацией (ни имя узла, ни IP-адрес, ни какую-либо иную информацию о клиенте).

Например, если клиент хочет определить репутацию файла, то он может послать сообщение-запрос в тему /mcafee/service/tie/file/reputation. Этот запрос будет получен службой, которая и отправит ответ с соответствующей информацией о репутации. Обмениваясь всей этой информацией, стороны не знают местоположение друг друга (они могут находиться в одном и том же здании или в разных уголках земного шара).

persistent-connection

Наличие постоянного подключения

Подключения устанавливаются от клиента DXL к брокеру DXL. Эти подключения являются постоянными и обеспечивают двунаправленную связь. Данная разновидность подключений имеет следующие преимущества:

  • Отсутствие проблем с брандмауэром. За установление подключения с брокерами отвечают клиенты (а не наоборот, т. е. подключение никогда не устанавливается от брокера к клиенту). Это дает нам возможность связываться с клиентами, которые прежде были недоступны. Так, например, мобильный клиент может подключиться к брокеру, ставшему доступным в демилитаризованной зоне (DMZ). Поскольку связь является двунаправленной, мы получаем возможность устанавливать связь с этим клиентом из серверных продуктов McAfee, также подключенных к данному уровню (отправляя вызов пробуждения агенту для ePO Cloud и др.);
  • Связь в режиме почти реального времени. Обмен информацией в уровне DXL отличается высочайшей эффективностью, поскольку отпадает необходимость постоянно устанавливать подключения.
communication-models

Разные модели связи

Уровень DXL поддерживает две разные модели связи: модель на основе служб, в которой связь (запрос/ответ) устанавливается «от точки к точке», и модель на основе событий (публикация/подписка).

  • На основе служб. Уровень DXL позволяет службам регистрироваться, становиться доступными и отвечать на запросы, отправляемые обращающимися к ним клиентами. Такая связь устанавливается «от точки к точке» («один к одному»), т. е. исключительно между службой и обращающимся к ней клиентом. Данная модель предусматривает активное обращение клиента к службе путем отправления ей запросов. Например, служба McAfee Threat Intelligence Exchange доступна через уровень DXL, что дает клиентам DXL возможность запрашивать информацию о репутации файлов и сертификатов.
  • На основе событий. Уровень DXL позволяет также обмениваться информацией с помощью событий. Эту модель обычно называют «публикация/подписка», т. е. клиенты подписываются на ту или иную тему, а издатели периодически отправляют в эту тему события. Уровень DXL доставляет событие всем клиентам, подписанным на данную тему, поэтому одно-единственное отправленное событие может дойти до большого количества клиентов («один ко многим»). Данная модель подразумевает пассивное получение клиентом событий, рассылаемых издателем. Например, в случае успешного определения репутации файла серверы McAfee Advanced Threat Defense отправляют события в тему /mcafee/event/atd/file/report. Этот отчет получают все клиенты, подписанные на данную тему (в настоящее время на эту тему подписаны McAfee Threat Intelligence Exchange Server и McAfee Enterprise Security Manager).
secure-communication

Безопасность связи

В уровне DXL безопасность связи обеспечивается с помощью TLS версии 1.2 и взаимной аутентификации на базе инфраструктуры открытых ключей (ИОК). Кроме того, уровень DXL также поддерживает авторизацию на уровне темы, что позволяет вводить ограничения на то, какие клиенты могут публиковать сообщения в теме и какие клиенты могут получать сообщения по той или иной теме.

Например, единственными клиентами, имеющими право публиковать события изменения репутации в тему /mcafee/event/tie/file/repchange, являются клиенты DXL, встроенные в серверы Threat Intelligence Exchange.