Ооо я любитель рассказывать разные истории из жизни. Жизненный случай провайдер на букву Т. Во времена когда трафик считали в гигабайтах обратился клиент - говорит что то у вас не правильно считает :) Мы проверяем все верно по netflow. Смотрим, а там flow в сторону американской разведки (толи АНБ, толи - уже не помню). Мы в cisco написали, нам дали прошивку, и больше мы не видели эти flow в netflow :)

Железка если не ошибаюсь была - 12 тонник

Согласен, засунул в отдельный сегмент и запретил - все.

Ну и про инспекцию ещё раз повторюсь, что у большинства сетевых решений простой вариант инспектировать все не прокатит ибо к вам почти сразу прибегут бухгалтера или разрабы или финансисты, что у них отвалился тот или иной бизнес критикал сервис. Потому что у него встроенный пиннинг сертификата. И поэтому скорее всего внедрение инспекции стандартное это сначала смотрим что есть, потом потихоньку добавляем на контроль. Но это все конечно требует обслуживания. А ещё есть риски отказа и просадки по производительности. Поэтому безусловно большинство за анализ агентами.

А вот если экономически нецелесообразно или технически невозможно что то покрыть, то и использовать сетевые средства, причем желательно не только на периметре, но и для анализа внутрисетевого трафика. И тут такие критерии как надёжность и производительность плюс удобство обслуживания должны учитываться. Опять же я бы выбирал специализированные решения если трафик условно более 2 Гбит. И да не все они одинаковые, у всех есть особенности и фишки

Коллеги, добрый день. Ищем сетевого инженера в команду (https://careers.kaspersky.com/vacancy/7567/), если вдруг кому интересно, предлагаю заслать резюме нашему HR-у, на вопросы готов ответить в личке если такие есть.

Анализ на конечных устройствах лучше хотя бы потому что задача естественным образом параллелится

Она и на сетевом устройстве параллелиться. А если ещё и тикетинг используется и например элиптика, тогда вообще нагрузка на клиенте будет даже больше чем на сервере сетевом.

Но это мы про приход квика не сказали. А это действительно будет проблемой для сетевых средств. Ибо пока они его просто блокируют :)

Я о том, что 2k рабочих станций имеют 2k cpu(а в ядрах ещё больше).

И трафика там немного

Это да, но это и 2k лицензий на агенты:) и  я слышал, что многие смотрят в сторону тонких клиентов и виртуальных рабочих столов и терминальных серверов. Вроде в банках это особо популярно ( могу ошибаться). Поэтому как не крути все равно централизация на сервере. Да и ЦПУ на рабочей станции должны делать что то ещё, кроме инспекции. Кстати вопрос, а насколько у кого развиты vdi и терминальные сервера?

И ещё вопрос ( извиняюсь, что не совсем по теме чата), а кто нибудь использовал так называемые защищённые ( confidentinal ) виртуальные машины в облаках, с поддержкой intel sgx и remote attestation( вроде есть аналогичное у amd, но я не знаю предоставляет ли кто такие)?

Это вот как так?

Там вроде sgx как раз ломали. https://sgaxe.com

У сотовиков реализовали. Поднятие vpn проблему решает

Это те самые сервера, которыми рулит Роскомнадзор?

Ломали не только sgx, но и amd sev. Ничего не взламываемого нет.

#мнение

По итогам сегодняшнего митинга: за освобождение Раима вышло больше, чем против Конституции. Все познается в сравнении 🤷

https://t.me/seychas_kg/8655