Remarques concernant l'architecture du serveur de détection
Examinez les problèmes qui surviennent lorsque les serveurs de détection ne sont pas disponibles et comprenez les méthodes permettant de réduire le temps d'indisponibilité.
Les conséquences d'une panne d'un serveur de détection varient en fonction du type de serveur. Pour plus d'informations, consultez le tableau suivant.
Type de serveur de détection | Description de la panne |
|---|---|
Network Monitor , Network Prevent for Web , Network Prevent for E-mail | La détection et la consignation des incidents s'arrêtent. |
Network Discover | Les analyses actives ou planifiées s'arrêtent et aucun incident n'est consigné. |
Endpoint Prevent /Endpoint Discover | La détection continue normalement sur les agents (y compris le blocage et les notifications contextuelles). Les incidents sont stockés localement sur le terminal jusqu'à ce que le serveur Endpoint soit de nouveau disponible.Les nouveaux incidents risquent de ne pas être enregistrés si le serveur Endpoint est arrêté pendant une période prolongée. En effet, les nouveaux incidents ne sont pas enregistrés si le terminal ne dispose pas de suffisamment d'espace disque disponible.Ces incidents ne sont alors visibles dans le serveur Enforce qu'une fois les serveurs Endpoint restaurés. |
La perte des serveurs de détection a un impact significatif sur la solution
Symantec Data Loss Prevention
.L'inspection du trafic peut échouer selon le type de serveur de détection.Heureusement, la plupart des serveurs de détection sont évolutifs horizontalement.Une forte disponibilité est obtenue en utilisant des solutions de répartition de charge combinées aux déploiements de serveur N+1 ou N+2.La perte de chaque type de serveur de détection ayant des conséquences différentes sur les opérations, diverses remarques doivent être prises en compte pour chacun d'entre eux en matière de haute disponibilité/reprise après sinistre.Network Prevent for E-mail et Network Prevent for Web
Network Prevent for E-mail
et Network Prevent for Web
Les entreprises utilisent souvent des serveurs de détection
Network Prevent for E-mail
et Network Prevent for Web
comme ligne de défense principale en matière de prévention contre la perte de données, en particulier en raison de leur capacité à bloquer le contenu.Concernant la haute disponibilité, le déploiement de ces serveurs dans un attribution N+1 ou N+2 fournit une excellente protection contre les pannes de serveur unique lorsqu'il est accompagné de technologies de répartition de charge. La nature critique de ces deux types de serveurs de détection implique que les clients disposent souvent d'une infrastructure de secours active ou à chaud dans un autre site à des fins de reprise après sinistre.
Endpoint Prevent et Endpoint Discover
Endpoint Prevent
et Endpoint Discover
Les serveurs Endpoint n'examinent pas directement la plupart du trafic et servent simplement de relais pour la transmission des politiques et des incidents aux agents DLP.Ces serveurs relaient des données, c'est pourquoi la perte temporaire d'un ou de plusieurs serveurs Endpoint est acceptable.
Cependant, les serveurs Endpoint détectent les données lorsque la détection à deux niveaux est utilisée avec les profils EDM et IDM.
Envisagez de mettre en place l'un des scénarios architecturaux suivants pour les serveurs
Endpoint Prevent
et Endpoint Discover
: - Répartition de la charge des serveurs Endpoint dans une configuration N+1. Cette configuration améliore la disponibilité des agents, étant donné qu'une URL/adresse IP virtuelle peut être utilisée pour représenter tous les serveurs Endpoint.
- Recherchez les serveurs Endpoint dans une zone DMZ ou une instance de cloud privé destinée au public. Cette configuration rend les agents disponibles y compris lorsqu'ils ne sont pas connectés au réseau d'entreprise.
Remarques relatives au basculement pour les agents
Planifiez le basculement des agents de manière à prendre en compte leurs exigences de connexion.Lorsque vous générez le package d'installation d'agent, vous pouvez désigner les serveurs secondaires devant être utilisés comme serveurs de sauvegarde en cas de panne du serveur principal.
Les agents ne peuvent pas basculer facilement vers un environnement composé d'une base de données différente.Si vous utilisez un site de basculement qui inclut un serveur Enforce et une base de données distincts, passez en revue les remarques relatives à la communication des agents ci-après :
- Modifiez le mot de passe du magasin de clés du terminal sur le serveur Enforce.
- Appliquez le même mot de passe sur le serveur Enforce de sauvegarde.
- Redémarrez les serveurs Endpoint pour vous assurer que le mot de passe du magasin de clés est appliqué.
- Créez un package d'installation d'agent à l'aide du nouveau mot de passe de magasin de clés de terminal. Le serveur Enforce de sauvegarde peut alors communiquer avec les agents à l'aide de certificats qui utilisent le même mot de passe de magasin de clés.
Le plan de basculement ci-dessus n'a pas été testé avec des certificats tiers.
Network Monitor
Network Monitor
Network Monitor
utilise une connexion SPAN ou TAP, c'est pourquoi une attention particulière doit être portée pour la haute disponibilité et la reprise après sinistre. Envisagez de mettre en place les scénarios architecturaux suivants pour les serveurs
Network Monitor
: - Si vous virtualisez des serveurs, dédiez un hôte à l'ordinateur virtuel afin que ce dernier puisse tirer pleinement parti des cartes réseau physiques de l'hôte.
- Si vous utilisez du matériel physique, effectuez un déploiement dans une configuration N+1 où la répartition de charge est effectuée via l'orientation du trafic sur des appliances de réseau périphérique avancées.Les clients disposent généralement d'une infrastructure de secours/active déployée dans un autre emplacement de site. L'infrastructure n'est pas uniquement destinée au basculement. Elle surveille également le trafic dans l'autre site.
Network Discover
Network Discover
En raison de la nature des analyses planifiées,
Network Discover
possède souvent la priorité la plus faible dans un plan de reprise après sinistre et de haute disponibilité.La plupart des clients reconstruisent un nouveau serveur Network Discover
en cas de défaillance d'un serveur existant plutôt que de maintenir un matériel de basculement dédié.Les documents générant des incidents à partir de Network Discover
ne sont souvent pas générés en temps réel, mais pendant plusieurs jours, semaines, mois ou même années. L'objectif du point de récupération est généralement mesuré dans une période plus longue, permettant ainsi un plan occasionnel de reconstruction des serveurs.