מנטרים קווי תקשורת של מאות גיגות
חברת Niagara Networks מאפשר לשירותי ביטחון, בנקים וחברות טלקו לנטר קווי תקשורת עם רוחב פס גדול. "אנחנו מספקים פתרון הוליסטי", אומר זאב דרייר סמנכ"ל השיווק בחברה
עמי רוחקס דומבה
| 12/08/2020
זאב דרייר. צילום: ליאור ליבוביץ
אם אי פעם חשבתם איך שירותי ביטחון וספקי תקשורת מצליחים לנטר קווי תקשורת של עשרות או מאות גיגות לשניה, אחת התשובות נמצאת בחברת Niagara Networks. מדובר בחברה אמריקאית המייצרת מוצרי חומרה ייעודיים לניטור קווי תקשורת גדולים. החברה היא ספין אוף של חברה אם בשם IMT Interface Masters Technologie המייצרת חומרה לחברות ענק כמו סיסקו, IBM ואחרות.
כל הייצור נעשה בארה"ב, כולל רכיבי החומרה והתוכנה. החברה פועלת בתחום שנקרא בעגה מקצועית "מתווך מנות" (packet broker). החברה מספקת פתרונות בישראל, בין היתר, לבזק בינלאומי, חברת חשמל, סלקום, פלאפון, משרד הביטחון ומשרד רוה"מ.
מיהו מתווך מנות?
כאשר פלוני גולש באינטרנט, מתנהלת התקשרות בין הדפדפן שלו לבין שרת כלשהו ברשת האינטרנט. תעבורה זו מורכבת מיחידות בסיסיות הנקראות מנות (packets). כאשר גוף כמו שירות ביטחון, בנק או ספק אינטרנט רוצה לדעת איזו תעבורה עוברת לו בקו, הוא צריך לאסוף מנות כאלו ולבחון אחת - אחת על מנת להבין את הצדדים השותפים להתקשורת. איסוף כזה דורש משאבי עיבוד גדולים מאד. אם מוסיפים לכך את העובדה שמרבית תעבורת הרשת כיום מוצפנת בפרוטוקולי SSL\TLS, משאבי העיבוד נדרשים להיות אף גדולים יותר.
Niagara Networks מייצרת את המכונות הללו בעצמה. כל מכונה יכולה לנטר קו תקשורת בנפח של 12 עד 15 גיגה\שניה, כאשר ניתן לשרשר מכונות כאלו על מנת לנטר קווים של 100 גיגה או אף יותר. המכונה יודעת לפתוח את ההצפנה, ולשלוף מנות על מנת להעביר אותן לכלי בדיקה אחרים. לרוב, מכונה מסוג זה מותקנת בפתח חוות שרתים, אליה מתנקזת תעבורה. התקנה בצומת מרכזית מאפשרת למכונה לנטר תעבורה מהרבה מקורות שונים בצומת מרכזית אחת. שליפת המנה נעשית באמצעות הכפלתה, ושליחתה לבדיקה אצל מוצרי הגנת סייבר אחרים כגון FW ואחרים.
ובכן, פלוני ישאל, אם יש FW שיודע לפתוח הצפנות, מדוע נדרשת מכונה של Niagara Networks? בעוד תיאורטית גישה זו נכונה, במציאות, מכונות הFW או אחרות שנועדו למצוא תעבורה זדונית אינן 'סוחבות' כאשר מדובר בקווי תקשורת גדולים ותקשורת מוצפנת. לכן, לקוח יעדיף להתקין מכונה ייעודית לפתיחת הצפנות והפצת מנות, על מנת לא לחנוק את אמצעי ההגנה האחרים שיש לו.
לנטר תעבורה מכתובת IP מסוימת
המכונה של Niagara Networks מאפשרת גם ביצוע פילטרים. למשל, לקוח יכול לבחור לנטר תעבורה המגיעה מכתובת IP מסוימת, מאזור גיאוגרפי מסוים, וכו'. פילטרים אלו המוחלים על כלל התעבורה, מצמצים את כמות התעבורה המנוטרת וחוסכים משאבים רבים בכל שרשרת הבדיקה של המנות. בנוסף, המכונה מאפשרת קיטון משמעותי בזמן השיהוי (latency) של התעבורה. שיהוי קטן מבטיח כי תעבורת זמן אמת שעוברת על הקו לא נפגעת בגלל ניטור המנות, וכך הלקוח יכול להמשיך לספק שירות איכותי על אף הבדיקות של המנות.
החברה כאמור מוכרת ללקוחות ביטחוניים, ספקי תקשורת, וארגונים גדולים כמו בנקים. כאלו שצריכים לנהל קווי תקשורת בנפח גדול. החברה פועלת בארבע יבשות, כאשר המכירות הן בעיקר באמצעות מפיצים מקומיים. לאחרונה, החליטו בחברה לקחת את המכונות לפלח שוק נוסף. היות והמכונה מבוססת על חומרה חזקה ושכבת וירטואליזציה, ניתן להתקין עליה מוצרי אבטחת מידע באמצעות קונטיינר או VM. בצורה כזו, ממוצר רשתי בלבד, המוצר הופך להיות אגרגטור של שירותי הגנה בסייבר.
אחת החברות הראשונות שעשתה שיתוף פעולה כזה היא L7 הישראלית. החברה מספקת שירותי הגנת DDOS והאפשרות ל"רכב" על החומרה של Niagara Networks מאפשרת לה להציע ללקוח פתרון שלם מבוסס חומרה ותוכנה. "השלם גדול מסך חלקיו", מסביר ישראל גרוס, מייסד שותף בחברה. אחד היעדים של Niagara Networks הוא להמשיך לספק שירות גם בקווים של מאות גיגות.
השוק הישראלי
"ב400 גיגה\שניה אי אפשר להסתמך רק על מעבדים. צריך ארכיטקטורה משולבת של ענן, חומרה, וירטואליזציה ועוד. חוות שרתים אזוריות. חלק ניכר מחברות הטלקו הסבו את הPOPים שלהן למרכזי הפצת תוכנות. ככאלו, מרכזים אלו נדרשים לתקשורת, הגנה ואפליקציה באותו מקום", מסביר זאב דרייר סמנכ"ל השיווק בחברה. "זה הכיוון שלנו. לספק מנגנון הגנה יותר קרוב למשתמש ב'מיני' חוות שרתים שהן זרועות הענן שלו.
"אנחנו נותנים אפשרות לשלב כלים כמו L7 או אחרים. התחרות שלנו היא מול חברות כמו Gigamon (כ-30 אחוז מהשוק) ו-Ixia (כ-17 אחוז מהשוק). בהיבט השוק הישראלי, הוא שוק של חדשנות. ככזה, הוא מאפשר לנו לחבור לפתרונות ערך מוסף שהופכים את המכונות שלנו לפתרון הוליסטי. לחברות ישראליות צעירות קל לעבוד איתנו כי מנהל פיתוח המוצרים יושב בארץ. כך גם הרבה מההנהלה."
חברת Niagara Networks מאפשר לשירותי ביטחון, בנקים וחברות טלקו לנטר קווי תקשורת עם רוחב פס גדול. "אנחנו מספקים פתרון הוליסטי", אומר זאב דרייר סמנכ"ל השיווק בחברה
זאב דרייר. צילום: ליאור ליבוביץ
אם אי פעם חשבתם איך שירותי ביטחון וספקי תקשורת מצליחים לנטר קווי תקשורת של עשרות או מאות גיגות לשניה, אחת התשובות נמצאת בחברת Niagara Networks. מדובר בחברה אמריקאית המייצרת מוצרי חומרה ייעודיים לניטור קווי תקשורת גדולים. החברה היא ספין אוף של חברה אם בשם IMT Interface Masters Technologie המייצרת חומרה לחברות ענק כמו סיסקו, IBM ואחרות.
כל הייצור נעשה בארה"ב, כולל רכיבי החומרה והתוכנה. החברה פועלת בתחום שנקרא בעגה מקצועית "מתווך מנות" (packet broker). החברה מספקת פתרונות בישראל, בין היתר, לבזק בינלאומי, חברת חשמל, סלקום, פלאפון, משרד הביטחון ומשרד רוה"מ.
מיהו מתווך מנות?
כאשר פלוני גולש באינטרנט, מתנהלת התקשרות בין הדפדפן שלו לבין שרת כלשהו ברשת האינטרנט. תעבורה זו מורכבת מיחידות בסיסיות הנקראות מנות (packets). כאשר גוף כמו שירות ביטחון, בנק או ספק אינטרנט רוצה לדעת איזו תעבורה עוברת לו בקו, הוא צריך לאסוף מנות כאלו ולבחון אחת - אחת על מנת להבין את הצדדים השותפים להתקשורת. איסוף כזה דורש משאבי עיבוד גדולים מאד. אם מוסיפים לכך את העובדה שמרבית תעבורת הרשת כיום מוצפנת בפרוטוקולי SSL\TLS, משאבי העיבוד נדרשים להיות אף גדולים יותר.
Niagara Networks מייצרת את המכונות הללו בעצמה. כל מכונה יכולה לנטר קו תקשורת בנפח של 12 עד 15 גיגה\שניה, כאשר ניתן לשרשר מכונות כאלו על מנת לנטר קווים של 100 גיגה או אף יותר. המכונה יודעת לפתוח את ההצפנה, ולשלוף מנות על מנת להעביר אותן לכלי בדיקה אחרים. לרוב, מכונה מסוג זה מותקנת בפתח חוות שרתים, אליה מתנקזת תעבורה. התקנה בצומת מרכזית מאפשרת למכונה לנטר תעבורה מהרבה מקורות שונים בצומת מרכזית אחת. שליפת המנה נעשית באמצעות הכפלתה, ושליחתה לבדיקה אצל מוצרי הגנת סייבר אחרים כגון FW ואחרים.
ובכן, פלוני ישאל, אם יש FW שיודע לפתוח הצפנות, מדוע נדרשת מכונה של Niagara Networks? בעוד תיאורטית גישה זו נכונה, במציאות, מכונות הFW או אחרות שנועדו למצוא תעבורה זדונית אינן 'סוחבות' כאשר מדובר בקווי תקשורת גדולים ותקשורת מוצפנת. לכן, לקוח יעדיף להתקין מכונה ייעודית לפתיחת הצפנות והפצת מנות, על מנת לא לחנוק את אמצעי ההגנה האחרים שיש לו.
לנטר תעבורה מכתובת IP מסוימת
המכונה של Niagara Networks מאפשרת גם ביצוע פילטרים. למשל, לקוח יכול לבחור לנטר תעבורה המגיעה מכתובת IP מסוימת, מאזור גיאוגרפי מסוים, וכו'. פילטרים אלו המוחלים על כלל התעבורה, מצמצים את כמות התעבורה המנוטרת וחוסכים משאבים רבים בכל שרשרת הבדיקה של המנות. בנוסף, המכונה מאפשרת קיטון משמעותי בזמן השיהוי (latency) של התעבורה. שיהוי קטן מבטיח כי תעבורת זמן אמת שעוברת על הקו לא נפגעת בגלל ניטור המנות, וכך הלקוח יכול להמשיך לספק שירות איכותי על אף הבדיקות של המנות.
החברה כאמור מוכרת ללקוחות ביטחוניים, ספקי תקשורת, וארגונים גדולים כמו בנקים. כאלו שצריכים לנהל קווי תקשורת בנפח גדול. החברה פועלת בארבע יבשות, כאשר המכירות הן בעיקר באמצעות מפיצים מקומיים. לאחרונה, החליטו בחברה לקחת את המכונות לפלח שוק נוסף. היות והמכונה מבוססת על חומרה חזקה ושכבת וירטואליזציה, ניתן להתקין עליה מוצרי אבטחת מידע באמצעות קונטיינר או VM. בצורה כזו, ממוצר רשתי בלבד, המוצר הופך להיות אגרגטור של שירותי הגנה בסייבר.
אחת החברות הראשונות שעשתה שיתוף פעולה כזה היא L7 הישראלית. החברה מספקת שירותי הגנת DDOS והאפשרות ל"רכב" על החומרה של Niagara Networks מאפשרת לה להציע ללקוח פתרון שלם מבוסס חומרה ותוכנה. "השלם גדול מסך חלקיו", מסביר ישראל גרוס, מייסד שותף בחברה. אחד היעדים של Niagara Networks הוא להמשיך לספק שירות גם בקווים של מאות גיגות.
השוק הישראלי
"ב400 גיגה\שניה אי אפשר להסתמך רק על מעבדים. צריך ארכיטקטורה משולבת של ענן, חומרה, וירטואליזציה ועוד. חוות שרתים אזוריות. חלק ניכר מחברות הטלקו הסבו את הPOPים שלהן למרכזי הפצת תוכנות. ככאלו, מרכזים אלו נדרשים לתקשורת, הגנה ואפליקציה באותו מקום", מסביר זאב דרייר סמנכ"ל השיווק בחברה. "זה הכיוון שלנו. לספק מנגנון הגנה יותר קרוב למשתמש ב'מיני' חוות שרתים שהן זרועות הענן שלו.
"אנחנו נותנים אפשרות לשלב כלים כמו L7 או אחרים. התחרות שלנו היא מול חברות כמו Gigamon (כ-30 אחוז מהשוק) ו-Ixia (כ-17 אחוז מהשוק). בהיבט השוק הישראלי, הוא שוק של חדשנות. ככזה, הוא מאפשר לנו לחבור לפתרונות ערך מוסף שהופכים את המכונות שלנו לפתרון הוליסטי. לחברות ישראליות צעירות קל לעבוד איתנו כי מנהל פיתוח המוצרים יושב בארץ. כך גם הרבה מההנהלה."
