Considerações sobre a arquitetura do Servidor de detecção
Revise os problemas que ocorrem quando os servidores de detecção não estão disponíveis e entenda os métodos para minimizar o tempo de inatividade.
Se um servidor de detecção for desativado, os efeitos variarão de acordo com o tipo de servidor. Revise a tabela a seguir para obter detalhes.
Tipo de servidor de detecção | Descrição da interrupção |
|---|---|
Network Monitor , Network Prevent para Web , Network Prevent para email | A detecção e o registro em log de incidentes são interrompidos. |
Network Discover : | As verificações ativas ou agendadas são interrompidos e nenhum incidente é registrado em log. |
Endpoint Prevent /Endpoint Discover : | A detecção nos agentes continua normalmente (incluindo notificações pop-up e de bloqueio). Os incidentes são armazenados localmente no endpoint até que o Endpoint Server esteja disponível.Se o Endpoint Server ficar inativo por um período prolongado, novos incidentes não poderão ser registrados. Novos incidentes não serão registrados se o endpoint não tiver espaço em disco suficiente disponível.Esses incidentes não ficarão visíveis no Enforce Server até que os Endpoint Servers sejam restaurados. |
A perda de servidores de detecção tem um impacto significativo na solução
Symantec Data Loss Prevention
.Dependendo do tipo de servidor de detecção, a inspeção do tráfego poderá falhar.Felizmente, a maioria dos servidores de detecção é dimensionável horizontalmente.Uma alta disponibilidade é obtida com o uso de soluções de balanceamento de carga que são combinadas com implantações de servidor N+1 ou N+2.Como a perda de cada tipo de servidor de detecção tem diferentes impactos nas operações, diferentes considerações podem ser feitas em relação a HA/DR.Network Prevent para email e Network Prevent para Web
Network Prevent para email
e Network Prevent para Web
Geralmente, as empresas usam servidores de detecção do
Network Prevent para email
e do Network Prevent para Web
como a principal linha de defesa para a prevenção contra a perda de dados, especialmente devido à sua capacidade de bloquear conteúdo.Para fins de alta disponibilidade, implantar esses servidores em uma distribuição N+1 ou N+2 fornece uma excelente proteção contra falhas de um servidor único quando acompanhados por tecnologias de balanceamento de carga. A natureza crítica desses dois tipos de servidor de detecção implica que os clientes geralmente tenham uma infraestrutura em espera ativa ou preparada em um site alternativo para fins de recuperação após desastres.
Endpoint Prevent e Endpoint Discover
Endpoint Prevent
e Endpoint Discover
Os Endpoint Servers não inspecionam diretamente a maior parte do tráfego e destinam-se apenas à retransmissão de políticas e incidentes aos DLP Agents.Esses servidores retransmitem dados, portanto, a perda temporária de um ou vários Endpoint Servers é aceitável.
No entanto, os Endpoint Servers detectam dados quando a detecção de duas camadas é usada com perfis de EDM e IDM.
Considere a implementação de um dos seguintes cenários de arquitetura para os servidores do
Endpoint Prevent
e do Endpoint Discover
: - Endpoint Servers de balanceamento de carga em uma configuração N+1. Essa configuração melhora a disponibilidade dos agentes porque um URL/endereço IP virtual pode ser usado para representar todos os Endpoint Servers
- Localize Endpoint Servers em uma DMZ (Demilitarized Zone - Zona Desmilitarizada) ou em uma instância de nuvem privada voltada para o público. Essa configuração fornece disponibilidade aos agentes mesmo quando eles não estão conectados à rede da empresa
Considerações sobre a tolerância a falhas para agentes
Planeje a tolerância a falhas do agente para atender os requisitos de conexão do agente.Ao gerar o pacote de instalação do agente, você pode designar servidores secundários para fornecer backup se o principal estiver desativado.
Os agentes não podem falhar facilmente em um ambiente que consiste em um banco de dados diferente.Se você usar um site de failover que inclua um Enforce Server separado e um banco de dados separado, verifique as seguintes considerações de comunicação do agente:
- Altere a senha do armazenamento de chave do endpoint no Enforce Server.
- Aplique a mesma senha no Enforce Server de backup.
- Reinicie os Endpoint Servers para garantir que a senha do armazenamento de chave seja aplicada.
- Crie um pacote de instalação do agente usando a nova senha do armazenamento de chave do endpoint. O Enforce Server de backup pode então se comunicar com agentes usando certificados que usam a mesma senha de armazenamento de chave.
O plano de tolerância a falhas acima não foi testado com certificados de terceiros.
Network Monitor
Network Monitor
O
Network Monitor
usa uma conexão SPAN ou TAP e, portanto, precisa ser avaliado com atenção especial para a alta disponibilidade e a recuperação de falhas. Considere a implementação dos seguintes cenários de arquitetura para os servidores do
Network Monitor
: - Se você virtualizar os servidores, dedique um host à máquina virtual de modo que possa aproveitar ao máximo as placas de rede físicas no host.
- Se você usar hardware físico, implemente em uma configuração N+1 em que o balanceamento de carga seja executado por meio do direcionamento de tráfego em appliances de rede de borda avançados.Os clientes geralmente têm uma infraestrutura em espera/ativa implementada em um local alternativo do site. A infraestrutura não se destina apenas a fins de tolerância a falhas. Ela também monitora o tráfego no site alternativo.
Network Discover
Network Discover
Devido à natureza das verificações planejadas e agendadas, o
Network Discover
geralmente é a prioridade mais baixa em um plano de recuperação após desastres e alta disponibilidade.A maioria dos clientes reconstrói um novo servidor do Network Discover
após a falha de um servidor existente em vez de manter um hardware dedicado de tolerância a falhas.Em geral, os documentos que geram incidentes no Network Discover
não são gerados em tempo real, mas ao longo de dias, semanas, meses ou até mesmo anos. Geralmente, o objetivo do ponto de recuperação é medido em um período de tempo mais longo que permite um plano mais casual para reconstruir os servidores.