Характеристики Data Exchange Layer

Версия Data Exchange Layer (DXL) 4.0 имеет следующие характеристики:

  • Простая интеграция с pxGrid. Загрузив один-единственный файл, вы получите все программное обеспечение, необходимое для подключения DXL к pxGrid и создания автоматизированных политик реагирования на потенциальные угрозы.
  • Автоматизированное реагирование на инциденты. McAfee ePolicy Orchestrator (McAfee ePO) автоматически реагирует на события угроз, посылая данные в DXL и распространяя информацию между подключенными к DXL продуктами, чтобы они могли принять соответствующие меры.
  • Оптимизированные процессы управления. Новое расширение DXL для McAfee ePO и внесенные в клиент улучшения позволили упростить процедуру подготовки клиентов к работе и процедуру обновления процессов.

Следующие новые функции делают коммуникационную систему DXL еще более уникальной и эффективной:

Независимость от местоположения

Связь между клиентами, объединенными уровнем DXL, осуществляется путем рассылки «сообщений» в «темы». Клиентам не нужно знать местоположение других клиентов DXL, с которыми они обмениваются информацией (ни имя узла, ни IP-адрес, ни какую-либо иную информацию о клиенте).

Например, если клиент хочет определить репутацию файла, то он может послать сообщение-запрос в тему /mcafee/service/tie/file/reputation. Этот запрос будет получен службой, которая и отправит ответ с соответствующей информацией о репутации. Обмениваясь всей этой информацией, стороны не знают местоположение друг друга (они могут находиться в одном и том же здании или в разных уголках земного шара).

Наличие постоянного подключения

Подключения устанавливаются от клиента DXL к брокеру DXL. Эти подключения являются постоянными и обеспечивают двунаправленную связь. Данная разновидность подключений имеет следующие преимущества:

  • Отсутствие проблем с брандмауэром. За установление подключения с брокерами отвечают клиенты (а не наоборот, т. е. подключение никогда не устанавливается от брокера к клиенту). Это дает нам возможность связываться с клиентами, которые прежде были недоступны. Так, например, мобильный клиент может подключиться к брокеру, ставшему доступным в демилитаризованной зоне (DMZ). Поскольку связь является двунаправленной, мы получаем возможность устанавливать связь с этим клиентом из серверных продуктов McAfee, также подключенных к данному слою (выполнять вызов агента ePO Cloud и др.);
  • Связь в режиме почти реального времени. Обмен информацией в слое DXL отличается высочайшей эффективностью, поскольку отпадает необходимость постоянно устанавливать подключения.

Разные модели связи

Data Exchange Layer поддерживает две разные модели связи: модель на основе служб, в которой связь (запрос/ответ) устанавливается «от точки к точке», и модель на основе событий (публикация/подписка):

  • На основе служб. Слой DXL позволяет службам регистрироваться, становиться доступными и отвечать на запросы, отправляемые обращающимися к ним клиентами. Такая связь устанавливается «от точки к точке» («один к одному»), т. е. исключительно между службой и обращающимся к ней клиентом. Данная модель предусматривает активное обращение клиента к службе путем отправления ей запросов. Например, служба McAfee Threat Intelligence Exchange доступна через Data Exchange Layer, что дает клиентам DXL возможность запрашивать информацию о репутации файлов и сертификатов.
  • На основе событий. Слой DXL позволяет также обмениваться информацией с помощью событий. Эту модель обычно называют «публикация/подписка», т. е. клиенты подписываются на ту или иную тему, а издатели периодически отправляют в эту тему события. Слой DXL доставляет событие всем клиентам, подписанным на данную тему, поэтому одно-единственное отправленное событие может дойти до большого количества клиентов («один ко многим»). Данная модель подразумевает пассивное получение клиентом событий, рассылаемых издателем. Например, в случае успешного определения репутации файла серверы McAfee Advanced Threat Defense отправляют события в тему /mcafee/event/atd/file/report. Этот отчет (report) получают все клиенты, подписанные на данную тему (в настоящее время на эту тему подписаны McAfee Threat Intelligence Exchange Server и McAfee Enterprise Security Manager).

Безопасность связи

В слое DXL безопасность связи обеспечивается с помощью TLS версии 1.2 и взаимной аутентификации на базе ИОК. Кроме того, слой DXL также поддерживает авторизацию на уровне темы, что позволяет вводить ограничения на то, какие клиенты могут публиковать сообщения в тему и какие клиенты могут получать сообщения по той или иной теме.

Например, единственными клиентами, имеющими право публиковать события изменения репутации в тему /mcafee/event/tie/file/repchange, являются клиенты DXL, встроенные в серверы Threat Intelligence Exchange.