Consideraciones sobre la arquitectura del servidor de detección
Revise los problemas que ocurren cuando los servidores de detección no están disponibles y comprenda los métodos para reducir al mínimo el tiempo de inactividad.
Si un servidor de detección se apaga, los efectos varían según el tipo de servidor. Consulte la tabla siguiente para obtener información más detallada.
Tipo de servidor de detección | Descripción de la interrupción |
|---|---|
Network Monitor , Network Prevent para Web , Network Prevent para correo electrónico | Se detiene la detección y el registro de incidentes. |
Network Discover : | Los análisis activos o programados se detienen y no se registra ningún incidente. |
Endpoint Prevent /Endpoint Discover : | La detección en los agentes continúa normalmente (incluidas las notificaciones de bloqueo y las notificaciones emergentes). Los incidentes se almacenan localmente en el endpoint hasta que el servidor de endpoints esté disponible.Si el servidor de endpoints está inactivo durante un período prolongado, es posible que no se registren nuevos incidentes. No se registran nuevos incidentes si el endpoint no tienen suficiente espacio libre en disco disponible.Estos incidentes no son visibles en Enforce Server hasta que se restauren los servidores de endpoints. |
La pérdida de servidores de detección tiene un impacto significativo en la solución de
Symantec Data Loss Prevention
.Dependiendo del tipo de servidor de detección, se puede producir un error en la inspección del tráfico.Afortunadamente, la mayoría de los servidores de detección son escalables horizontalmente.Se logra una alta disponibilidad mediante las soluciones de equilibrio de carga que se unen a las implementaciones de servidores N+1 o N+2.Como la pérdida de cada tipo de servidor de detección tiene diversos impactos en las operaciones, se pueden dar diferentes consideraciones a cada uno para HA/DR:Network Prevent para correo electrónico y Network Prevent para Web
Network Prevent para correo electrónico
y Network Prevent para Web
Las empresas suelen usar los servidores de detección de
Network Prevent para correo electrónico
y Network Prevent para Web
como línea principal de defensa para Data Loss Prevention, especialmente debido a su capacidad de bloquear contenido.Con fines de alta disponibilidad, la implementación de estos servidores en una asignación N+1 o N+2 proporciona una excelente protección contra errores del servidor único cuando están acompañados por las tecnologías de equilibrio de carga. La naturaleza crítica de estos dos tipos de servidor de detección implica que los clientes a menudo tienen una infraestructura en espera activa o en caliente en un sitio alternativo con fines de recuperación después de un desastre.
Endpoint Prevent y Endpoint Discover
Endpoint Prevent
y Endpoint Discover
Los servidores de endpoints no examinan directamente la mayoría del tráfico y sirven simplemente como retransmisión para las políticas y los incidentes para los Agentes DLP.Estos servidores retransmiten datos, de modo que la pérdida de uno o varios servidores de endpoints temporalmente es aceptable.
Sin embargo, los servidores de endpoints detectan los datos cuando se usa la detección de dos niveles con perfiles de EDM e IDM.
Considere implementar una de las siguientes situaciones arquitectónicas para los servidores de
Endpoint Prevent
y Endpoint Discover
: - Equilibre la carga en los servidores de endpoints en una configuración N+1. Esta configuración mejora la disponibilidad para los agentes porque se puede usar una dirección URL o dirección IP virtual para representar a todos los servidores de endpoints
- Localice servidores de endpoints en una DMZ o en una instancia de nube privada pública. Esta configuración proporciona disponibilidad para los agentes incluso cuando no están conectados a la red corporativa
Consideraciones sobre la conmutación por error para los agentes
Planee la conmutación por error del agente para tener en cuenta los requisitos de conexión del agente.Al generar el paquete de instalación del agente, se pueden designar los servidores secundarios para proporcionar una copia de seguridad si el servidor principal no está funcionando.
Los agentes no pueden realizar fácilmente la conmutación por error en un entorno que consta de una base de datos diferente.Si usa un sitio de conmutación por error que incluya una instancia aparte de Enforce Server y una base de datos diferente, revise las siguientes consideraciones de comunicación del agente:
- Cambie la contraseña del almacén de claves del endpoint en Enforce Server.
- Aplique la misma contraseña en la instancia de copia de seguridad de Enforce Server.
- Reinicie los servidores de endpoints para asegurarse de que se aplica la contraseña del almacén de claves.
- Cree un paquete de instalación del agente usando la nueva contraseña del almacén de claves del endpoint. A continuación, la instancia de copia de seguridad de Enforce Server puede comunicarse con los agentes usando los certificados que usan la misma contraseña del almacén de claves.
El plan anterior de conmutación por error no se ha probado con certificados de otros fabricantes.
Network Monitor
Network Monitor
Network Monitor
usa una conexión SPAN o del punto de conexión de red, por lo que requiere una consideración especial para la alta disponibilidad y la recuperación después de un desastre. Considere implementar las siguientes situaciones arquitectónicas para los servidores de
Network Monitor
: - Si virtualiza los servidores, dedique un host a la máquina virtual para que pueda aprovechar al máximo las tarjetas de red físicas en el host.
- Si usa hardware físico, implemente en una configuración N+1 donde el "equilibrio de carga" se realiza a modo de direccionamiento de tráfico en appliances de red perimetral avanzados.Los clientes normalmente tienen una infraestructura en espera o activa que se implementa en una ubicación alternativa. La infraestructura no se ha creado simplemente con propósitos de conmutación por error. Además, supervisa el tráfico en el sitio alternativo.
Network Discover
Network Discover
Debido a la naturaleza de los análisis planificados y programados, a menudo
Network Discover
es la prioridad más baja en un plan de alta disponibilidad y de recuperación ante desastres.La mayoría de los clientes reconstruyen un nuevo servidor de Network Discover
cuando se produce un error de un servidor existente en lugar de conservar el hardware dedicado de la conmutación por error.Los documentos que generan incidentes de Network Discover
a menudo no se generan en tiempo real, pero sí durante el transcurso de días, semanas, meses o incluso años. El objetivo del punto de recuperación normalmente se mide durante un período de tiempo más largo que permita que un plan más casual reconstruya los servidores.