Cisco Cyber Vision 解決方案中感測器至中心資料傳輸通訊協定深度剖析
1. 導論與核心架構概覽
1.1 查詢問題與專家解讀
關於 Cisco Cyber Vision 解決方案中,從 Cisco 交換器接收資料後傳送至 Cyber Vision 系統所使用的通訊協定,這是一個針對營運技術(OT)網路監控架構的關鍵技術問題。該查詢看似簡單,但其核心在於對 Cisco Cyber Vision 獨特「邊緣監控架構」(unique edge monitoring architecture)的理解。該架構的設計與傳統網路監控模型截然不同,因此無法用單一通訊協定名稱概括。
本報告旨在透過深入剖析整個資料流的生命週期,從流量擷取、邊緣處理,到最終的資料傳輸,提供一個全面且準確的技術解答。分析將明確界定兩個獨立但相互關聯的階段:首先,Cisco 交換器如何將工業網路流量複製給內嵌的 Cyber Vision 感測器;其次,感測器如何將處理後的資料安全地傳輸給 Cyber Vision Center。透過這種分層解構,可以揭示該解決方案在設計上為克服 OT 環境挑戰而採取的策略性選擇。
1.2 Cisco Cyber Vision 的獨特邊緣監控架構
Cisco Cyber Vision 解決方案的核心優勢在於其創新的雙層架構。該架構由以下兩個主要部分組成:
- 感測器(Sensors): 這些感測器並非獨立的硬體設備,而是被「內嵌」(built into)於選定的 Cisco 工業網路設備中,例如 Cisco IC3000 工業計算閘道器、Cisco Catalyst IE3300/3400/9300 系列交換器等。感測器在網路流量的源頭——即 OT 設備的連接點——運行,並在本地執行繁重的處理任務,包括深度封包檢測(DPI)、協議分析與入侵偵測。
- 中心(Cyber Vision Center): 中心是一個中央化的聚合平台,可部署為實體硬體設備或 VMware 虛擬機。它的主要職責是從所有感測器接收資料,並提供一個統一的介面,用於資料儲存、分析、行為分析、報告生成以及使用者介面功能。
這種「邊緣計算」架構的關鍵優勢在於其極高的效率。感測器在網路邊緣對工業流量進行解碼和分析,僅將經過精煉、高度壓縮的「輕量級中繼資料」(lightweight metadata)發送給中心。這大大減少了對工業網路頻寬的消耗,根據資料,僅增加 2% 到 5% 的網路負載。這種設計從根本上解決了在頻寬受限的 OT 環境中部署大規模監控方案的挑戰。
1.3 報告範圍界定:釐清資料流的兩大階段
為了解答使用者問題,必須將資料流的整個過程區分為兩個截然不同的階段。混淆這兩個階段會導致對整個解決方案運作原理的誤解。
- 第一階段:流量擷取(Traffic Acquisition): 這是指 Cisco 交換器將 OT 網路中的原始封包流量複製給內嵌的 Cyber Vision 感測器應用程式的過程。這個階段不涉及應用層的資料傳輸,而是利用網路交換器內建的流量複製功能。
- 第二階段:資料傳輸(Data Transmission): 這是指感測器在本地處理、分析原始流量後,將其生成的輕量級中繼資料傳輸給遠端 Cyber Vision Center 的過程。這才是本報告的核心探討點,涉及的是應用層通訊協定。
這種兩階段的設計模式,是 Cisco Cyber Vision 區別於許多傳統網路監控工具的關鍵。它將繁重的處理任務從核心網路轉移到了邊緣設備,從而將「傳輸原始流量」的模式轉變為「傳輸情報」的模式,這使得解決方案能夠在 OT 環境中實現高效、可擴展的部署。
2. 資料流機制與邊緣處理
2.1 流量擷取:從工業網路到內嵌感測器
在第一個階段,Cisco 交換器會利用其內建的流量複製技術,將工業網路中的原始流量「複製」一份給內嵌的感測器應用。常見的流量複製方法包括:
- SPAN (Switched Port Analyzer): 這是一種本地流量鏡像技術,在單一交換器上,將一個或多個來源埠(Source Port)或 VLAN 的所有流量複製到一個目標介面(Destination Interface)。這種方法適用於感測器和監控設備位於同一台交換器上的情況。
- RSPAN (Remote Switched Port Analyzer): RSPAN 允許跨多個交換器進行流量複製。它透過專用的 RSPAN VLAN,將來源交換器上的流量複製到該 VLAN 中,並在目標交換器上透過一個埠將流量轉發給監控設備。
- ERSPAN (Encapsulated Remote Switched Port Analyzer): ERSPAN 是最進階的遠端流量複製方法,它將被複製的流量封裝在 Layer 3 協定(通常是 GRE)的封包中。這種方式使得流量複製可以跨越路由邊界,將來自不同站點的工業流量匯聚到中央的監控平台。文獻指出,Cisco Cyber Vision 感測器支援在 Catalyst 9300/9400 等設備上使用 ERSPAN。
這些流量擷取技術,是確保感測器能夠「看到」 OT 網路中所有流量的基礎。然而,它們本身並非感測器與中心之間的通訊協定。
表一:流量擷取技術比較
| 技術名稱 |
工作層次 |
核心機制 |
主要優勢 |
Cyber Vision 應用 |
| SPAN |
Layer 2 |
本地埠鏡像 |
簡單、低開銷 |
感測器與流量源在同一交換器上的本地部署 |
| RSPAN |
Layer 2 |
遠端 VLAN 鏡像 |
跨交換器、靈活 |
跨 Layer 2 網路的多交換器部署 |
| ERSPAN |
Layer 3 |
遠端 GRE 封裝 |
跨路由、多站點 |
跨 Layer 3 網路的多站點集中監控部署 |
2.2 感測器的邊緣處理能力
在感測器接收到複製的原始流量後,並不會直接將其轉發。這是 Cisco Cyber Vision 架構的關鍵所在。感測器內建的引擎會立即對流量進行深度處理。
- OT 協議解碼:感測器能夠理解和解碼數百種工業控制協議,例如 EtherNet/IP、S7、Profinet 等。這種能力使其能夠從流量中提取出豐富的應用層上下文,例如資產屬性、韌體版本、PLC 程式修改、變數變化等。
- 中繼資料生成:經過深度分析後,感測器會捨棄原始的、龐大的封包資料,僅生成並保留輕量級、結構化的「中繼資料」(metadata)。這些中繼資料包含了資產清單、通訊模式、漏洞資訊、安全事件等核心情報,這使得最終傳輸給中心的資料量極小,避免了對工業網路造成過載。
這種從「原始流量」到「精煉情報」的模式轉變,是 Cisco Cyber Vision 在 OT 網路中取得成功的基礎。它將傳統方案中所需的龐大網路頻寬需求轉變為輕量的資料傳輸,從而使其能夠在 OT 環境中實現低成本、高效率的規模化部署。
3. 感測器至中心的核心通訊協定分析
3.1 核心通訊協定:基於 HTTPS/TLS 的 API 傳輸
根據對 Cisco Cyber Vision 解決方案的技術文檔與開發者 API 文件的分析,可以明確指出,感測器將其分析後生成的輕量級中繼資料傳輸給 Cyber Vision Center 所使用的核心通訊協定是 HTTPS/TLS。
這種通訊機制是基於 RESTful API 的模型。感測器透過加密的 HTTPS 連線,向 Cyber Vision Center 的特定 API 端點發送資料。文獻中展示的 curl 和 Python requests 程式碼範例,均明確使用了 https:// URL 並發送 POST 請求,這直接證明了其底層通訊機制的運作方式。傳輸的資料內容是結構化的中繼資料,而非原始的網路封包。HTTPS 協定本身提供了傳輸層安全(TLS),確保了資料在傳輸過程中的加密與完整性。這對於傳輸敏感的 OT 資產資訊至關重要,可有效防範資料在途中被竊聽或篡改。
3.2 傳輸協定與流量監控協定的區別:為何不是 NetFlow/IPFIX?
傳統上,在 IT 網路中,流量監控常依賴於 NetFlow 或其標準化演進版本 IPFIX。這些協議主要用於收集 Layer 3 和 Layer 4 的流量資訊,如來源/目的 IP 位址、埠號、協議類型、封包與位元組計數等,它們能回答「誰在跟誰通訊」的問題。
然而,Cisco Cyber Vision 的目標遠超於此。它旨在提供深層次的 OT 安全洞察,例如識別特定的工業協議通訊模式、監控 PLC 程式的修改、偵測工業變數的異常變化等。這些豐富的 OT 上下文資訊無法透過標準的 NetFlow/IPFIX 欄位來傳輸。因此,Cisco Cyber Vision 的設計選擇是放棄 NetFlow/IPFIX,轉而採用更為靈活、可擴展的基於 API 的傳輸模型。這種設計使得該解決方案能夠傳輸任何自定義的數據類型,並隨著新的 OT 協議和安全情報的出現而輕鬆更新,從而專注於提供真正具備安全價值的「情報」而非單純的「流量統計」。
3.3 特定功能使用的輔助協定:TUS 協議的應用
儘管主要傳輸協定是基於 HTTPS 的 API,但 Cisco Cyber Vision 在處理特殊資料類型時,也會採用其他優化的協定。一個值得關注的例子是 PCAP 檔案上傳功能。Cisco 的開發者文檔明確指出,用於上傳新的 PCAP 檔案的 API 端點使用了 TUS 協議。
TUS(The Upload Server)是一種基於 HTTP 的可續傳上傳協定。它的應用表明,當需要處理大型檔案(如完整的網路封包擷取檔)時,Cisco 選擇了最適合該任務的協定。TUS 具備斷點續傳的能力,即使網路連線中斷,上傳也能從中斷處恢復,這對於可能因網路不穩定而導致長傳輸失敗的工業環境而言,提供了額外的彈性和可靠性。這種根據不同用途採用最優協議的設計,體現了產品在實際運維場景中的務實考量。
表二:Cisco Cyber Vision 核心資料流路徑
| 階段 |
關鍵技術/組件 |
數據形式 |
主要通訊協定 |
| 1. 流量擷取 |
Cisco 交換器 (SPAN/RSPAN/ERSPAN) |
原始 OT 流量 |
埠鏡像技術 (非應用層協議) |
| 2. 邊緣處理 |
Cyber Vision 感測器應用 |
輕量級中繼資料 |
無 (本地處理) |
| 3. 資料傳輸 |
感測器 → Cyber Vision Center |
結構化數據 (如 JSON) |
HTTPS/TLS (主要), TUS (特定上傳) |
4. 資料傳輸的安全性與實施細節
4.1 傳輸層安全:TLS 加密與認證
感測器與中心之間的通訊傳輸的是敏感的 OT 網路資訊,因此傳輸層的安全性至關重要。HTTPS/TLS 協定是實現這一安全目標的基石。TLS 提供了多重保護:
- 資料加密:確保所有傳輸的資料在網路上以加密形式存在,防止未經授權的第三方竊聽或分析資料流。
- 伺服器認證:透過數位憑證,感測器能夠驗證所連線的 Cyber Vision Center 是否為合法伺服器,防止中間人攻擊。雖然在初始部署時,可能會使用自簽名證書,但這是為了在安全連線建立前進行初始配置。
- API Token 認證:除了 TLS 加密,感測器還需使用預先配置的 API Token 進行身分驗證,以確保只有獲得授權的感測器才能向中心發送資料。
4.2 網路與防火牆配置的最佳實踐
為了確保安全且高效的通訊,Cisco Cyber Vision Center 的硬體設計本身就遵循了資安的最佳實踐。
- 專用網路介面:Cyber Vision Center 設備配置了兩個專用且分離的 10 Gigabit Ethernet 網路埠:一個是「Administration network interface」(eth0),用於使用者透過瀏覽器存取管理介面;另一個是「Collection network interface」(eth1),專門用於與感測器通訊。
- 實施網路分區:這種物理上的網路分離,強烈建議在邏輯上將感測器所在的 OT 監控網路與管理人員使用的 IT 網路進行嚴格的隔離。透過在網路邊界部署防火牆,並僅允許必要的通訊埠(如用於 HTTPS 的 TCP/443)在感測器與中心之間通訊,可以顯著降低橫向移動的風險,並將攻擊面縮小到最低。這種設計是「最小權限」與「零信任」安全模型在實體網路層面的具體應用。
5. 結論與專業建議
5.1 總結核心發現
綜合上述分析,Cisco Cyber Vision 解決方案中,從 Cisco 交換器到 Cyber Vision Center 的資料傳輸是一個分階段且經過精心設計的過程。首先,交換器透過 SPAN/RSPAN/ERSPAN 等技術將原始 OT 網路流量複製給內嵌的感測器應用。隨後,感測器在邊緣執行深度封包檢測,將龐大的原始流量轉換為輕量級的「中繼資料」。最終,這些中繼資料透過基於 HTTPS/TLS 的安全 API 傳輸給 Cyber Vision Center。對於需要上傳大型檔案(如 PCAP)的特殊場景,該解決方案則採用了 TUS 協議以確保傳輸的可靠性。
這種架構的關鍵在於其專為 OT 環境優化的核心特性:輕量級、安全、可擴展且不對網路造成過重負擔。它將繁重的處理任務從網路核心轉移到邊緣,從而將資料流從「頻寬消耗」模式轉變為「安全情報傳輸」模式。
5.2 對網路工程師與 OT 專家的建議
- 部署前準備:在部署感測器之前,務必確保感測器與中心之間的管理網路具備連線能力,並檢查防火牆規則是否允許必要的通訊。同時,精準的時間同步(NTP)對於事件關聯和分析至關重要。
- 善用邊緣能力:感測器本身具備強大的本地分析能力。在進行故障排除時,可以利用內建工具(如 tcpdump)在本地擷取流量,進行初步分析,無需將所有資料都傳送至中心。
- 實施網路分區:充分利用 Cyber Vision Center 專用的「Collection」網路介面,將 OT 監控網路與 IT 管理網路進行物理或邏輯上的分區,並配置嚴格的防火牆策略,這是提升整體解決方案安全性的關鍵。
- 融合 IT/OT 安全:Cyber Vision 能夠生成豐富的 OT 資產、通訊、事件和漏洞上下文資訊。建議將這些中繼資料與 IT 的安全資訊與事件管理(SIEM)平台(如 IBM QRadar 或 Splunk)進行無縫整合。這將實現 IT 與 OT 領域的事件關聯與統一的威脅分析,構建一個真正統一的 IT/OT 安全營運中心。
