Funciones de Data Exchange Layer

Data Exchange Layer (DXL) 4.0 incorpora las siguientes funciones:

  • Integración sencilla de pxGrid. Una sola descarga incluye todo el software necesario para conectar DXL y pxGrid y para definir políticas automáticas de respuesta a amenazas potenciales.
  • Automatización de la respuesta ante incidentes. McAfee ePolicy Orchestrator (McAfee ePO) reacciona de forma automática ante eventos de amenazas, envía la información a DXL que la disemina a los productos conectados para que actúen.
  • Administración mejorada. Se han simplificado el aprovisionamiento de clientes y las actualizaciones de procesos con la nueva extensión de DXL para McAfee ePO y las mejoras en los clientes.

Estas funciones nuevas refuerzan el diseño distintivo del tejido de comunicaciones de DXL:

el desconocimiento de la ubicación.

La comunicación entre los clientes que forman parte de la estructura DXL se basa en el envío de "mensajes" a "temas". Los clientes no tienen por qué conocer la ubicación de otros clientes DXL con los que se comunican, ni el nombre de host, la dirección IP y otra información de identificación.

Por ejemplo, si un cliente desea determinar la reputación de un archivo, envía un mensaje de solicitud al tema /mcafee/service/tie/file/reputation. Un servicio recibe la solicitud y envía la respuesta con la información sobre la reputación. Toda esta comunicación se produce sin que ninguno de los involucrados conozca la ubicación del otro (podrían estar en el mismo edificio o en el otro lado del mundo).

Conexión continua

Las conexiones se establecen desde un cliente DXL a un agente DXL. Estas conexiones son continuas y permiten que la comunicación sea bidireccional. Los beneficios de este tipo de conexión son:

  • Firewall fácil de usar. Los clientes son los que establecen la conexión con los agentes (nunca se establece desde un agente a un cliente). Por tanto, es posible comunicarse con clientes que antes eran inalcanzables. Por ejemplo, un cliente móvil puede conectarse a un agente que se encuentra en una zona desmilitarizada (DMZ). Dado que la comunicación es bidireccional, ahora podemos comunicarnos con los clientes desde los productos de McAfee para servidores que también estén conectados a la estructura (por ejemplo, para activar el agente para ePO Cloud).
  • Comunicación casi en tiempo real. La comunicación en la estructura DXL es muy eficiente dado que se eliminan los gastos de establecimiento continuo de conexiones.

Varios modelos de comunicación

Data Exchange Layer admite dos modelos distintos de comunicación: uno de servicio con comunicación punto a punto (solicitud/respuesta) y otro de eventos publicación/suscripción.

  • Modelo de servicio. La estructura DXL permite que se registren y presenten los servicios que dan respuesta a las solicitudes enviadas por los clientes que los invocan. Esta comunicación es punto a punto (uno a uno), es decir, se establece exclusivamente entre el cliente que invoca y el servicio invocado. En este modelo, el cliente invoca el servicio de forma activa enviándole solicitudes. Por ejemplo, el servicio McAfee Threat Intelligence Exchange se presenta mediante Data Exchange Layer de forma que los clientes DXL pueden solicitar la reputación de archivos y certificados.
  • Servicio de eventos. La estructura DXL también admite la conexión basada en eventos. Este modelo habitualmente se llama "publicación/suscripción". En él, los clientes registran su interés suscribiéndose a un tema en y los publicadores envían eventos a ese tema de forma periódica. Un evento se envía a todos los clientes que estén suscritos a ese tema a través de la estructura DXL, de forma que un solo evento enviado llega a muchos clientes (uno a muchos). En este modelo, el cliente recibe eventos de forma pasiva cuando el publicador los envía. Por ejemplo, los servidores McAfee Advanced Threat Defense envían eventos al tema /mcafee/event/atd/file/report cuando han determinado correctamente la reputación de un archivo. Todos los clientes suscritos a ese tema recibirán el reporte (McAfee Threat Intelligence Exchange Server y McAfee Enterprise Security Manager están suscritos a este tema).

Comunicación segura

La comunicación a través de la estructura DXL está protegida por TLS versión 1.2 y la autenticación bidireccional PKI. La estructura también admite la autorización por tema para definir qué clientes pueden publicar mensajes en un tema o qué clientes pueden recibirlos de un tema determinado.

Por ejemplo, los clientes DXL integrados en los servidores Threat Intelligence Exchange son los únicos autorizados para publicar eventos de cambio en la reputación en el tema /mcafee/event/tie/file/repchange.