Гарда NPM — первая российская NPM-платформа для мониторинга производительности сети

Классические системы мониторинга ИТ-инфраструктуры эффективно отслеживают базовые метрики: доступность узлов, загрузку процессоров, свободное место на дисках и ответы на ICMP-запросы. Однако, когда пользователь сообщает, что какое-то приложение стало работать медленно, этих данных, как правило, оказывается недостаточно. Причина может скрываться на стыке сетевых доменов, в конкретном сегменте маршрутизации, деградации канала, проблемах на уровне TCP, некорректной конфигурации оборудования, переполнении очередей передачи данных или во всплесках ретрансмитов и сбросов соединений. В итоге возникают простои, слепые зоны в трафике и споры о разграничении ответственности между сетевыми инженерами, командами эксплуатации, разработки и ИБ-специалистами.

NPM (Network Performance Monitoring) — это класс решений для оценки производительности сети на основе анализа трафика. Такие системы анализируют сетевые сессии и протоколы, вычисляют метрики качества передачи данных — задержки, потери пакетов, доступность сервисов — и помогают быстро находить первопричины замедлений и сбоев в работе приложений.

Ключевая особенность NPM в том, что эти решения опираются на фактическую картину сетевых взаимодействий: как устанавливались соединения, были ли ретрансляции и сбросы, где именно возникала задержка — в сети или на стороне приложения, какие объемы и какие направления трафика перегружали сегменты, как менялось «нормальное» поведение в динамике. Благодаря этому повышается прозрачность инфраструктуры и у разных команд появляется единая картина: эксплуатация, сетевые инженеры, ИБ-специалисты и владельцы бизнес-сервисов быстрее договариваются, устраняют сбои и выявляют аномалии — как технического характера, так и потенциально связанные с угрозами.

Зарубежные аналоги

Если говорить о наиболее заметных зарубежных игроках, то в enterprise-сегменте чаще всего использовали NETSCOUT, Riverbed, ExtraHop и VIAVI. Они закрывали задачи глубокой диагностики сети и поиска причин деградаций на больших объемах трафика. При этом Riverbed широко распространен в крупных организациях и во многих случаях использовался как «стандарт де‑факто» для NPM, особенно в компаниях с высокой зрелостью ИТ-процессов.

Отдельную нишу занимали решения, которые в качестве источника данных о трафике использовали сетевую телеметрию — NetFlow, IPFIX, sFlow и аналоги. Их проще и дешевле масштабировать на удаленные площадки и филиалы, но глубина диагностики у них ниже: без анализа содержимого пакетов нельзя точно рассчитать ключевые метрики, такие как задержки на уровне приложений, или отделить сетевые проблемы от проблем в самом ПО. В этом сегменте рынка исторически были востребованы решения SolarWinds и ряд других систем, ориентированных на flow-анализ и обзорную видимость сети.

После 2022 года из-за санкций российский рынок покинули почти все зарубежные поставщики решений Network Performance Monitoring. Во многих организациях NPM-продукты продолжают работать без полноценной поддержки и развития, что создает серьезные риски — от роста уязвимостей и киберугроз до накопления технического долга и несовместимости с обновляемой инфраструктурой. Поэтому российскому рынку особенно нужен зрелый отечественный инструмент, который обеспечивает наблюдаемость сети на уровне трафика, ускоряет поиск причин деградаций и соответствует требованиям к импортонезависимости — что особенно актуально для предприятий и объектов КИИ.

Гарда NPM: от анализа безопасности сети к контролю производительности

«Гарда NPM» представляет собой первое российское решение класса Network Performance Monitoring, которое анализирует сетевой трафик и телеметрию, рассчитывает сетевые метрики производительности и помогает проактивно выявлять проблемы, влияющие на работу бизнес-приложений. Продукт разработан компанией «Гарда». Логика продукта строится вокруг простой идеи: сетевой трафик является наиболее объективным источником фактов о взаимодействии компонентов. Поэтому, если преобразовать его данные в структурированные метрики и понятные инсайты, можно существенно сократить время диагностики и повысить устойчивость цифровых сервисов.

Важная особенность продукта в том, что он «вырос» из технологического ядра платформы анализа трафика, ориентированной на детектирование угроз и расследования. В результате «Гарда NPM» реализован как функциональная лицензия внутри одной платформы, что дает редкую для рынка комбинацию. Производительность и безопасность сети анализируются в едином интерфейсе и на одном массиве данных — без необходимости строить параллельные контуры сбора трафика и без потери контекста между NetOps и SecOps.

Для бизнеса это означает снижение операционных затрат на поддержку набора разрозненных систем и сокращение времени разборов инцидентов, когда производственная проблема может оказаться симптомом атаки, или наоборот. А для ИТ- и ИБ-служб -— это единый «язык фактов», основанный на эталонном источнике — сетевом трафике, который невозможно подделать.

Архитектура и основные возможности Гарда NPM

𝓲

Фото: Гарда

«Гарда NPM» использует безагентный подход и не влияет на работу сети: система получает либо копию трафика, либо экспортируемую телеметрию. Это упрощает внедрение и снижает риск вмешательства в критичные бизнес-процессы.

В качестве источников данных поддерживаются зеркалирование SPAN и RSPAN, подключение через TAP, а также сетевые протоколы телеметрии NetFlow, IPFIX. Такой набор важен для организаций с разнородной инфраструктурой, потому что на одних участках сети удобно и экономически оправдано работать с копией трафика, а на других — проще использовать сетевую телеметрию, особенно на удаленных каналах, при ограниченной пропускной способности или высокой нагрузке на оборудование.

Архитектурно «Гарду NPM» можно представить в виде трех логических слоев

Первый — сенсоры и анализаторы: они принимают трафик и считают метрики.

Второй — это хранилище, где сохраняются сессии, метаданные и, при необходимости, сырой трафик.

Третий — это управление и визуализация: здесь задаются политики и модели, настаиваются дашборды и оповещения, а также осуществляется контроль над распределенными инсталляциями.

Полная видимость сети и контроль East-West и North-South трафика

Одна из базовых задач NPM — улучшение видимости трафика, понимание того, что реально происходит в сети. «Гарда NPM» дает целостную картину взаимодействий и позволяет анализировать как North-South-трафик (потоки, проходящие через периметр), так и East-West-трафик (потоки внутри дата-центра и между внутренними сегментами). Именно во внутреннем трафике часто скрываются деградации, которые незаметны на пограничных средствах контроля, но критически влияют на взаимодействия приложений и баз данных.

Продукт извлекает и обогащает метаданные сессий. В зависимости от протоколов и доступных источников, это могут быть сетевые атрибуты, признаки прикладных протоколов, географическая привязка IP-адресов, а также дополнительный контекст, который помогает диагностике и расследованию. Особую практическую ценность дает возможность сопоставить эти данные со сведениями об учетных записях и авторизациях.

Это позволяет перейти от абстрактных IP-адресов к конкретным пользователям, при наличии советующих интеграций в инфраструктуре организации.

Проактивное детектирование проблем трафика с помощью метрик и поведенческих моделей

Ключевое отличие NPM от простого мониторинга доступности в том, что решение работает с качеством доставки и взаимодействия. «Гарда NPM» в реальном времени рассчитывает показатели, которые напрямую описывают деградацию сети и влияние сети на приложения. Среди них время установления соединения, ретрансмиты, сбросы и ресеты, анализ TCP-флагов, размер TCP-окна, а также разложение задержек на network delay и application delay, что помогает отделять проблемы сети от проблем приложения и сервера.

Поверх этих метрик работает поведенческая аналитика. Система строит модели нормального поведения (baseline) и выявляет отклонения — например, всплески числа сессий с негативными показателями или необычные изменения профиля для конкретных узлов. В итоге проблемы можно заметить заранее, еще до массовых жалоб пользователей. При этом индивидуальные поведенческие профили можно настраивать отдельно по конкретным адресам и сервисам, поскольку «нормальные» значения метрик для разных компонентов инфраструктуры могут отличаться в разы.

Аналитика и расследования: от дашбордов до анализа пакетов в одном окне

Для повседневной работы нужны простые и наглядные визуализации. В «Гарда NPM» есть готовые дашборды и 26 виджетов для типовых задач диагностики производительности сети и видимости трафика. При необходимости можно собрать собственные дашборды в визуальном конструкторе — под конкретные бизнес-задачи, сегменты сети или площадки. Отчеты можно автоматически формировать по расписанию и направлять по почте — удобно для регулярного контроля.

Инженерам критически важно иметь возможность быстро переходить от агрегированных показателей на дашбордах к детальному анализу конкретных сессий без потери контекста. В продукте есть сквозной поиск по всем хранимым данным и ретроспективный анализ, а также возможность загружать внешние PCAP-файлы. Также встроен просмотрщик пакетов (сопоставимый по функциональности с Wireshark) — он позволяет разбирать пакеты и сессии в одном интерфейсе, без выгрузок в отдельные инструменты. Это ускоряет расследования и снижает порог входа для команды эксплуатации.

Поиск можно выполнять по сессиям и метаданным — это обычно быстрее и удобнее при работе с большими массивами данных, чем поиск по «сырому трафику». Если в контуре хранится полная копия трафика, возможен и более глубокий анализ — вплоть до изучения полезной нагрузки пакетов, когда это необходимо для точной диагностики сложных инцидентов.

Автоматическое реагирование и интеграции в контуры мониторинга и ИБ

Система мониторинга не должна работать в вакууме: важно не только обнаруживать проблемы, но и легко встраиваться в бизнес-процессы. «Гарда NPM» поддерживает отправку оповещений по электронной почте, SNMP-трапов, передачу событий по syslog, а также интеграции с SIEM и системами мониторинга ИТ-инфраструктуры. Это позволяет беспроблемно интегрировать данные о сетевых инцидентах в привычные дашборды и процессы реагирования. В результате NPM становится источником событий для команд NOC и SOC, а не обособленным «островом наблюдения».

Для расследований и выполнения регуляторных требований часто требуется хранение копии трафика. «Гарда NPM» предлагает гибкие сценарии записи данных, которые можно адаптировать под различные задачи и бюджет:

• хранение только статистики и метаданных сессий, что обеспечивает минимальную стоимость владения.
• запись полной копии трафика ‒- получение максимальной доказательную базу.
• Full Packet Capture — когда система постоянно ведет учет статистики, а запись полной копии трафика включается автоматически — по наступлению заданного события или при отклонении от нормы. Длительность и объем записи настраиваются пользователем.

Для оптимизации аппаратных мощностей предусмотрено сжатие данных: в зависимости от профиля трафика оно помогает существенно снизить требования к дисковому пространству для хранения.

Масштабируемость и производительность от виртуальной установки до аппаратных комплексов

При внедрении важно, чтобы решение масштабировалось вместе с сетью. «Гарда NPM» обеспечивает такую гибкость: система поддерживает работу в виртуальной среде (включая VMware и Proxmox, а также российские решения ZVirt и Basis) и позволяет начинать с обработки сравнительно небольших объемов трафика — например, от 1 Гбит/с.

Для более крупных инсталляций и распределенных сетей предусмотрены аппаратные варианты с возможностью горизонтального масштабирования сенсоров и узлов хранения.

«Гарда NPM» обеспечивает централизованное управление всеми распределенными инсталляциями через единую мастер-ноду и общий интерфейс, что особенно важно для организаций с развитой филиальной сетью. В контексте flow-телеметрии система также предполагает масштабирование: ключевой параметр — скорость приема записей —увеличивается за счет распределения нагрузки между сенсорами.

Сценарии применения NPM

«Гарда NPM» подходит компаниям, для которых бесперебойная работа сети напрямую влияет на выручку, операционные показатели и репутацию. К ним относятся финансовые организации (банки, финтех, страховые компании), крупный ритейл и маркетплейсы, логистические и транспортные операторы, промышленные и энергетические компании, телеком и крупные корпоративные сети, а также государственные структуры с социально значимыми цифровыми сервисами. Иными словами — для всех отраслей, где сбой или деградация сетевых сервисов немедленно оборачиваются финансовыми и репутационными. Причем чем больше распределенность и объем трафика, тем выше эффект от перехода к мониторингу на уровне трафика и сессий.

Основные сценарии применения:

Поиск причин замедления бизнес-приложений. Важно не просто зафиксировать факт деградации, но и отделить проблему сети от проблем приложения, базы данных или ОС. Метрики уровня TCP и разложение задержек помогают быстро определить источник ухудшения и документально подтвердить выводы для смежных команд.

Раннее обнаружение инцидентов. Платформа обеспечивает проактивное выявление инцидентов до того, как они становятся заметны пользователям. ML-baseline-модели фиксируют аномалии: рост количества сессий с негативными метриками или отклонения в поведении узлов еще до того, как проблема скажется на пользователях.

Расследования. Ретроспективный анализ трафика и запись событий (Full Packet Capture) формируют доказательную базу и позволяют восстановить хронологию событий без необходимости воспроизведения сбоя.

Импортозамещение. «Гарда NPM» — качественный российский аналог иностранным решениям. Продукт служит полноценной заменой ушедшим с рынка зарубежным NPM-решениям, устраняя риски эксплуатации неподдерживаемого ПО. При этом пользователь получает единую платформу, где данные о производительности и безопасности сети объединены в общем контексте, что значительно ускоряет анализ и принятие решений.

Будущее сетевого мониторинга — единая платформа для NetOps и SecOps

Современная сеть перестала быть просто транспортом — она стала измеримым слоем цифрового бизнеса. В этих условиях выигрывают подходы, которые дают полную видимость, объективные метрики и быстрый переход от наблюдения к действию. «Гарда NPM» решает задачи мониторинга производительности сети на уровне трафика и телеметрии, предоставляет инструменты расследования и автоматизации оповещений, а благодаря общему технологическому основанию с платформой сетевой безопасности позволяет объединять эксплуатацию сети и ИБ в едином контуре.

Для заказчика это означает не только импортонезависимость, но и снижение времени простоя, ускорение локализации первопричин, уменьшение конфликтов при разграничении ответственности и повышение управляемости инфраструктуры. По мере роста доли шифрования, усложнения гибридных архитектур и увеличения East-West трафика именно такие платформы будут становиться стандартом, превращая сеть в источник данных для управления надежностью цифровых сервисов.