Funzionalità di Data Exchange Layer

Data Exchange Layer (DXL) include le seguenti funzionalità.

Posizione ignorata

La comunicazione fra i client del tessuto DXL si basa sull’invio di “messaggi” a un “argomento”. I client non conoscono la posizione (nome host, indirizzo IP ecc.) degli altri client DXL con i quali stanno comunicando.

Per esempio, se un client volesse determinare la reputazione di un file, potrebbe inviare un messaggio di richiesta all’argomento /mcafee/service/tie/file/reputation. Un servizio riceverebbe la richiesta e invierebbe una risposta con le appropriate informazioni sulla reputazione. Queste comunicazioni avvengono con ogni parte che ignora la posizione dell’altra (si potrebbe trovare nello stesso edificio o dall’altra parte del mondo).

Connessione persistente

Le connessioni vengono stabilite da un client DXL a un broker DXL, sono persistenti e consentono comunicazioni bidirezionali. Vantaggi di questo stile di connessione:

  • A misura di firewall: i client sono responsabili di stabilire la connessione verso i broker (mai da un gestore a un client). Pertanto si può comunicare con dei client che erano in precedenza irraggiungibili. Per esempio, un client mobile può connettersi a un broker esposto in una zona demilitarizzata (DMZ). Dato che le comunicazioni sono bidirezionali, possiamo ora comunicare con il client dai prodotti server McAfee anch’essi connessi al tessuto (invio di un’attivazione agent per ePO Cloud, ecc.).

  • Comunicazioni pressoché in tempo reale: le comunicazioni nel tessuto DXL sono estremamente efficienti perché viene eliminato il bisogno di stabilire continuamente le connessioni.

Multipli modelli di comunicazione

Data Exchange Layer supporta due differenti modelli di comunicazione: un modello basato sul servizio con le comunicazioni da punto a punto (richiesta/risposta) e uno basato sugli eventi pubblicazione/abbonamento.

  • Modello basato sul servizio: il tessuto DXL consente la registrazione e l’esposizione dei servizi che rispondono alle richieste inviate dai client che richiamano. Questa comunicazione va da punto a punto (da uno a uno), significa che si svolge solamente fra un client che richiama e il servizio richiamato. In questo modello il client richiama attivamente il servizio inviando le richieste. Per esempio, il servizio McAfee Threat Intelligence Exchange viene esposto tramite Data Exchange Layer, consentendo ai client DXL di richiedere le reputazioni di file e certificati.

  • Modello basato sugli eventi: il tessuto DXL consente anche le comunicazioni basate sugli eventi. Questo modello viene solitamente chiamato “pubblicazione/abbonamento”: i client registrano il proprio interesse a un particolare argomento e gli autori inviano periodicamente degli eventi a tale argomento. L’evento viene inviato dal tessuto DXL a tutti i client attualmente abbonati all’argomento, così un singolo evento inviato può raggiungere molti client (da uno a molti). In questo modello il client riceve passivamente gli eventi quando vengono inviati. Per esempio, i server McAfee Advanced Threat Defense inviano degli eventi all’argomento /mcafee/event/atd/file/report quando hanno determinato la reputazione di un file. Qualsiasi client attualmente abbonato a quell’argomento riceverà il report (McAfee Threat Intelligence Exchange Server e McAfee Enterprise Security Manager attualmente si abbonano a questo argomento).

Comunicazioni sicure

La comunicazione nel tessuto DXL viene protetta tramite il TLS versione 1.2 e la mutua autenticazione PKI. Il tessuto supporta inoltre l’autorizzazione a livello di argomento per limitare i client che possono pubblicare messaggi per un argomento e i client che possono ricevere i messaggi su un particolare argomento.

Per esempio, i client DXL integrati nei server Threat Intelligence Exchange sono gli unici autorizzati a pubblicare gli eventi di modifica della reputazione nell’argomento /mcafee/event/tie/file/repchange.