Характеристики Data Exchange Layer

Уровень обмена данными Data Exchange Layer (DXL) имеет следующие характеристики:

Не требует информации о местоположении

Связь между клиентами, объединенными уровнем DXL, осуществляется путем рассылки «сообщений» в «темы». Клиенты ничего не знают о местоположении других клиентов DXL, с которыми они обмениваются информацией (ни имя узла, ни IP-адрес, ничего).

Например, если клиент хочет определить репутацию файла, то он может послать сообщение-запрос в тему /mcafee/service/tie/file/reputation. Этот запрос будет получен службой, которая и отправит ответ с соответствующей информацией о репутации. Обмениваясь всей этой информацией, стороны не знают местоположение друг друга (они могут находиться в одном и том же здании или в разных уголках земного шара).

Наличие постоянного подключения

Подключения устанавливаются от клиента DXL к брокеру DXL. Эти подключения являются постоянными и обеспечивают двунаправленную связь. Данная разновидность подключений имеет следующие преимущества:

  • Отсутствие проблем с брандмауэром. За установление подключения с брокерами отвечают клиенты (а не наоборот, т. е. подключение никогда не устанавливается от брокера к клиенту). Это дает нам возможность связываться с клиентами, которые прежде были недоступны. Так, например, мобильный клиент может подключиться к брокеру, ставшему доступным в демилитаризованной зоне (DMZ). Поскольку связь является двунаправленной, мы получаем возможность устанавливать связь с этим клиентом из серверных продуктов McAfee, также подключенных к данному слою (выполнять вызов агента Cloud ePO и др.);

  • Связь в режиме почти реального времени. Обмен информацией в слое DXL отличается высочайшей эффективностью, поскольку отпадает необходимость постоянно устанавливать подключения.

Разные модели связи

Data Exchange Layer поддерживает две разные модели связи: модель на основе служб, в которой связь (запрос/ответ) устанавливается «от точки к точке», и модель на основе событий (публикация/подписка):

  • На основе служб. Слой DXL позволяет службам регистрироваться, становиться доступными и отвечать на запросы, отправляемые обращающимися к ним клиентами. Такая связь устанавливается «от точки к точке» («один к одному»), т. е. исключительно между службой и обращающимся к ней клиентом. Данная модель предусматривает активное обращение клиента к службе путем отправления ей запросов. Например, служба McAfee Threat Intelligence Exchange доступна через Data Exchange Layer, что дает клиентам DXL возможность запрашивать информацию о репутации файлов и сертификатов.

  • На основе событий. Слой DXL позволяет также обмениваться информацией с помощью событий. Эту модель обычно называют «публикация/подписка», т. е. клиенты подписываются на ту или иную интересующую их тему, а издатели периодически посылают в эту тему события. Слой DXL доставляет событие всем клиентам, подписанным на данную тему, поэтому одно-единственное отправленное событие может дойти до большого количества клиентов («один ко многим»). Данная модель подразумевает пассивное получение клиентом событий, рассылаемых издателем. Например, в случае успешного определения репутации файла серверы McAfee Advanced Threat Defense отправляют события в тему /mcafee/event/atd/file/report. Этот отчет (report) получают все клиенты, подписанные на данную тему (в настоящее время на эту тему подписаны McAfee Threat Intelligence Exchange Server и McAfee Enterprise Security Manager).

Безопасность связи

В слое DXL безопасность связи обеспечивается с помощью TLS версии 1.2 и взаимной аутентификации на базе ИОК. Кроме того, слой DXL также поддерживает авторизацию на уровне темы, что позволяет вводить ограничения на то, какие клиенты могут публиковать сообщения в тему и какие клиенты могут получать сообщения по той или иной теме.

Например, единственными клиентами, имеющими право публиковать события изменения репутации в тему /mcafee/event/tie/file/repchange, являются клиенты DXL, встроенные в серверы Threat Intelligence Exchange.