Data Exchange Layer の機能

Data Exchange Layer には次の機能があります。

場所の認識は不要

DXL ファブリックのクライアントは、メッセージをトピックに送信して他のクライアントと通信を行います。クライアントは、通信先の DXL クライアントの場所 (ホスト名、IP アドレスなど) を知りません。

たとえば、クライアントがファイルのレピュテーションを確認する場合、クライアントは要求メッセージをトピック /mcafee/service/tie/file/reputation に送信します。サービスが要求を受信すると、該当するレピュテーション情報を含む応答を戻します。送信側も受信側もお互いの場所を知ることなく通信が行われます。通信は同じ建物内で行われることも、国外と行われることもあります。

永続的な接続

接続は、DXL クライアントと DXL ファブリック間で確立されます。この接続は永続的で、双方向の通信が可能です。この接続形態には次の利点があります。

  • ファイアウォール対応 - クライアントからブローカーに接続します。ブローカーからクライアントに接続することはありません。したがって、以前は接続できなかったクライアントとも接続が可能になります。たとえば、モバイル クライアントは 非武装地帯 (DMZ) にあるブローカーに接続します。この通信は双方向です。ファブリックに接続している McAfee サーバー製品からクライアントに接続できます (ePO Cloud へのエージェント ウェークアップの送信など)。

  • ほぼリアルタイムの通信 - 接続を継続的に確立しておく必要がないため、DXL ファブリックでの通信は非常に効率的に実行されます。

複数の通信モデル

DXL は 2 つの通信モデルに対応しています。1 つはポイント間の通信 (要求/応答型) を行うサーバー ベースのモデルで、もう 1 つは発行/購読型のイベント ベースのモデルです。

  • サービス ベース - DXL ファブリックでは、呼び出し側のクライアントからの要求に応答するサービスを登録できます。この通信はポイント間 (1 対 1) で実行されます。つまり、呼び出し側のクライアントと呼び出されたサービス間でのみ通信が行われます。このモデルでは、クライアントが要求を送信してサービスをアクティブに呼び出します。たとえば、DXL クライアントは DXL 経由で McAfee Threat Intelligence Exchange サービスに接続し、ファイルや証明書のレピュテーションを要求します。

  • イベント ベース - DXL ファブリックでは、イベント ベースの通信も可能です。このモデルは発行/購読モデルともいわれ、クライアントが特定のトピックの購読を登録し、発行側がこのトピックに対するイベントを定期的に送信します。DXL ファブリックは、トピックを購読しているすべてのクライアントにイベントを送信します。1 回のイベント送信で複数のクライアントに情報が送信されます (1 対多の通信)。このモデルでは、発行側が送信したイベントをクライアントが受動的に受信します。たとえば、ファイルのレピュテーションの特定に成功すると、McAfee Advanced Threat Defense サーバーがトピック /mcafee/event/atd/file/report にイベントを送信します。このトピックを購読しているすべてのクライアントがレポートを受信します (現在、このトピックを購読しているのは McAfee Threat Intelligence Exchange サーバーと McAfee Enterprise Security Manager です)。

安全な通信

DXL ファブリック経由の通信は、TLS 1.2 と PKI 相互認証で保護されています。ファブリックは、トピック レベルで認証を行い、トピックにメッセージを発行できるクライアントや特定のトピックのメッセージを受信できるクライアントを制限しています。

たとえば、トピック /mcafee/event/tie/file/repchange にレピュテーション変更イベントを公開できるのは、Threat Intelligence Exchange サーバーに組み込まれた DXL クライアントだけです。