虛擬化為網(wǎng)絡(luò)架構(gòu)師在服務(wù)器部署中創(chuàng)造了極大的靈活性，并節(jié)約了成本。與此同時(shí)，這種靈活性也制造了掩蓋非法活動(dòng)的機(jī)會(huì)，還有可能阻撓或延遲執(zhí)法(合法監(jiān)聽(tīng)LawfulInterception，指的是可以滿足政府對(duì)路由器數(shù)據(jù)進(jìn)行監(jiān)聽(tīng)的需要)和起訴，因?yàn)樘摂M主機(jī)可以跨地域或跨法律管轄區(qū)地移動(dòng)。

通過(guò)運(yùn)用適當(dāng)?shù)墓ぞ吆拖嚓P(guān)知識(shí)，企業(yè)就可以解決融合網(wǎng)絡(luò)環(huán)境內(nèi)虛擬化面臨的合法監(jiān)聽(tīng)和合規(guī)挑戰(zhàn)，以及采取措施來(lái)阻止“司法管轄權(quán)越區(qū)”。

保護(hù)虛擬基礎(chǔ)設(shè)施需要?jiǎng)?chuàng)新的戰(zhàn)略和解決方案，并應(yīng)確保支持服務(wù)供應(yīng)商和執(zhí)法機(jī)構(gòu)履行各自的職責(zé)。

虛擬化、云基礎(chǔ)設(shè)施帶來(lái)監(jiān)控挑戰(zhàn)

執(zhí)法機(jī)構(gòu)和服務(wù)供應(yīng)商面臨著巨大的壓力----他們需要阻止恐怖分子和其他惡意入侵者，而這些人通常具備精湛的技術(shù)能力和豐富的資源。例如，在過(guò)去，我們能夠比較簡(jiǎn)單地識(shí)別點(diǎn)到點(diǎn)應(yīng)用程序或者使用已知端口號(hào)的對(duì)話框，但是現(xiàn)在事情已經(jīng)沒(méi)那么簡(jiǎn)單。流量模式已經(jīng)改變，并且現(xiàn)在大多數(shù)應(yīng)用程序使用標(biāo)準(zhǔn)HTTP和SSL來(lái)通信，這對(duì)合法監(jiān)聽(tīng)系統(tǒng)而言無(wú)疑是巨大的負(fù)擔(dān)，他們需要從大量數(shù)據(jù)中識(shí)別更多目標(biāo)，而過(guò)濾選項(xiàng)少之又少。

社交網(wǎng)絡(luò)無(wú)疑更是雪上加霜，讓不法分子可以利用各種加密通信通道來(lái)進(jìn)行犯罪活動(dòng)。

有效的法律監(jiān)聽(tīng)技術(shù)必須能夠以前所未有的高速度和高精準(zhǔn)度來(lái)收集流量和處理數(shù)據(jù)。

抵御多重威脅保護(hù)網(wǎng)絡(luò)

根據(jù)法律規(guī)定，服務(wù)供應(yīng)商必須提供必要的設(shè)備來(lái)滿足合法監(jiān)聽(tīng)的高風(fēng)險(xiǎn)任務(wù)的獨(dú)特需求。解決方案應(yīng)該映射到合法監(jiān)聽(tīng)標(biāo)準(zhǔn)，并且能夠根據(jù)基于IP地址、MAC地址或其它參數(shù)的攔截來(lái)隔離可疑的語(yǔ)音、視頻或數(shù)據(jù)流。為了實(shí)現(xiàn)這個(gè)目標(biāo)，合法監(jiān)聽(tīng)需要：

攔截某個(gè)目標(biāo)的所有通信的能力，包括丟棄的數(shù)據(jù)包，因?yàn)閬G失的加密支付可能導(dǎo)致信息不可讀或者不完整；

通信流量中任何端點(diǎn)的網(wǎng)絡(luò)流量都是可見(jiàn)的---不能存在任何盲點(diǎn)；

與網(wǎng)絡(luò)帶寬相匹配的足夠的處理速度；

不可檢測(cè)性、不可觀測(cè)性和缺乏性能降低(當(dāng)攔截到不法分子和恐怖分子時(shí)的紅色警告標(biāo)記)；

實(shí)時(shí)監(jiān)控能力，因?yàn)闀r(shí)間是預(yù)防犯罪或攻擊和收集證據(jù)的根本要素；

向當(dāng)局提供攔截信息作為證據(jù)的能力；

對(duì)合法監(jiān)聽(tīng)系統(tǒng)的流量的負(fù)載共享和負(fù)載均衡的技術(shù)；

此外，網(wǎng)絡(luò)運(yùn)營(yíng)商和服務(wù)供應(yīng)商也有各自的需要，包括成本效益、盡量降低對(duì)網(wǎng)絡(luò)的影響、與享有技術(shù)的兼容性和可擴(kuò)展性等。#p#

虛擬化部署提高了合法監(jiān)聽(tīng)的風(fēng)險(xiǎn)

虛擬化并不只是一種趨勢(shì)，而是一場(chǎng)革命。虛擬化和云服務(wù)的普及給融合(物理和虛擬)環(huán)境以及同質(zhì)環(huán)境的合法監(jiān)聽(tīng)合規(guī)帶來(lái)挑戰(zhàn)。雖然虛擬化的勢(shì)頭會(huì)給CAPEX(減少資本開(kāi)支)帶來(lái)改進(jìn)，但被動(dòng)監(jiān)測(cè)虛擬機(jī)內(nèi)流量的能力幾乎已經(jīng)不存在。云計(jì)算目前只占IT開(kāi)支不到2%，但是據(jù)IDC估計(jì)，到2015年，將會(huì)有近20%的信息“經(jīng)過(guò)”云計(jì)算，高達(dá)10%的信息將會(huì)保存在云環(huán)境中。

虛擬化的彈性和缺乏能見(jiàn)度帶來(lái)安全風(fēng)險(xiǎn)

為了有效地執(zhí)行合法監(jiān)聽(tīng)，執(zhí)法機(jī)構(gòu)和服務(wù)供應(yīng)商需要對(duì)整個(gè)網(wǎng)絡(luò)具有可視性，包括數(shù)據(jù)中心、核心網(wǎng)絡(luò)和遠(yuǎn)程分支機(jī)構(gòu)等。任何不可見(jiàn)的部分都是容易受到攻擊的部分。缺乏對(duì)虛擬機(jī)內(nèi)流量的能見(jiàn)度降低了對(duì)虛擬服務(wù)器間傳輸?shù)臄?shù)據(jù)的審計(jì)的能力，這樣最終也無(wú)法確定資源虛擬化問(wèn)題。直到最近，虛擬化本身還是隱形的代名詞，帶來(lái)很大的安全、監(jiān)控和合規(guī)風(fēng)險(xiǎn)。

從合法監(jiān)聽(tīng)角度來(lái)看，虛擬化環(huán)境和云環(huán)境都太具有彈性和全球性。例如，如果虛擬機(jī)目標(biāo)計(jì)劃轉(zhuǎn)移到新澤西州，發(fā)出合法監(jiān)聽(tīng)令的華盛頓州當(dāng)局該如何處理?如果虛擬機(jī)目標(biāo)轉(zhuǎn)移到另一個(gè)國(guó)家，發(fā)出合法監(jiān)聽(tīng)令的國(guó)家該怎么辦?

不幸的是，這種所謂的“安全邊界”已經(jīng)不再存在，從而引發(fā)了合規(guī)、內(nèi)部/外部入侵、合法攔截和網(wǎng)絡(luò)犯罪等問(wèn)題。安全必須成為實(shí)際網(wǎng)絡(luò)架構(gòu)的一個(gè)組成部分，而不是點(diǎn)解決方案。

網(wǎng)絡(luò)速度和復(fù)雜度正在不斷上升

隨著VoIP、4G/LTE和視頻等新應(yīng)用的普及，網(wǎng)絡(luò)變得越來(lái)越復(fù)雜。讓問(wèn)題進(jìn)一步復(fù)雜化的是，網(wǎng)絡(luò)抖動(dòng)、超額認(rèn)購(gòu)和阻塞等問(wèn)題在10G網(wǎng)絡(luò)中都被放大了。加快速度將導(dǎo)致鏈接飽和以及超額認(rèn)購(gòu)等問(wèn)題，因?yàn)樵?0G、40G和100G速率，目前的工具和手段根本無(wú)法跟上。

當(dāng)隊(duì)列超出物理硬件緩沖區(qū)的大小時(shí)，會(huì)發(fā)生交換超額認(rèn)購(gòu)，并且數(shù)據(jù)包被丟棄。即使在較低流量或平均流量，超額認(rèn)購(gòu)可能造成排隊(duì)，導(dǎo)致短期內(nèi)的最大帶寬利用率。

延時(shí)和抖動(dòng)也具有風(fēng)險(xiǎn)，因?yàn)榻粨Q機(jī)的每個(gè)物理輸出端口只能傳輸一個(gè)數(shù)據(jù)包。資源沖突則是另一個(gè)對(duì)性能的威脅，當(dāng)來(lái)自不同輸入端口的兩個(gè)數(shù)據(jù)包在同一時(shí)間到達(dá)同一個(gè)輸出端口時(shí)可能出現(xiàn)資源沖突。

技術(shù)限制：混雜模式和SPAN端口的使用

現(xiàn)有的虛擬監(jiān)控解決方案需要混雜模式和利用交換端口分析器(SPAN)端口。但是交換級(jí)的監(jiān)控可以降低vSwitch吞吐量高達(dá)50%，因此這種方法可能需要多個(gè)vSwitch來(lái)重新創(chuàng)建足夠的吞吐能力。使用SPAN端口會(huì)暴露所有流量(相關(guān)的和不相關(guān)的)最高容量達(dá)每vSwitch10GB。在托管的情況下，多個(gè)客戶可能位于相同的虛擬機(jī)(可能每個(gè)物理虛擬服務(wù)器幾個(gè)客戶)，因此這大大增加了復(fù)雜性。

此外，鏡像流量不允許過(guò)濾來(lái)捕獲目標(biāo)流量，它只允許捕捉全部流量，由于有很多“無(wú)用的”流量通過(guò)網(wǎng)絡(luò)傳輸，這將成為很大的障礙。

探針是一種虛擬機(jī)層機(jī)器/設(shè)備，旨在其駐留的密封服務(wù)器中運(yùn)行，可能僅適用于特定產(chǎn)品。大多數(shù)本地虛擬機(jī)探針需要專門的核心來(lái)運(yùn)行，它們不能提供對(duì)環(huán)境的整體視圖，因此不能提供大范圍的能見(jiàn)度。相反的，集成流量的工具可以查看整個(gè)網(wǎng)絡(luò)或數(shù)據(jù)中心的流量模式。#p#

合法監(jiān)聽(tīng)任務(wù)帶來(lái)的成本問(wèn)題

服務(wù)供應(yīng)商在滿足合法監(jiān)控要求時(shí)，也需要花費(fèi)更多成本。為了滿足合法監(jiān)控要求，服務(wù)供應(yīng)商將新增培訓(xùn)費(fèi)用、遷移和運(yùn)營(yíng)費(fèi)用。這些成本會(huì)隨著內(nèi)容分類需求的壓力和安全威脅的變化而不斷增加。

整體成本也將隨之增加，因?yàn)樾枰３秩娴谋O(jiān)控能力(很可能是不相關(guān)的)，并且需要將所有從有線網(wǎng)絡(luò)捕捉的數(shù)據(jù)傳輸?shù)綌?shù)據(jù)儀表層---另一個(gè)高成本基礎(chǔ)設(shè)施要求。對(duì)于服務(wù)供應(yīng)商而言，利用1G網(wǎng)絡(luò)中現(xiàn)有的工具，而推遲購(gòu)買昂貴的10G網(wǎng)絡(luò)監(jiān)控工具，是非常不錯(cuò)的選擇。

當(dāng)今迅速增長(zhǎng)的數(shù)據(jù)量以及虛擬化加快發(fā)展的步伐給服務(wù)供應(yīng)商滿足合法監(jiān)聽(tīng)的要求帶來(lái)了新的挑戰(zhàn)。虛擬化雖然為企業(yè)創(chuàng)造了驚人的效率和效益，但其本身也為非法活動(dòng)和非法入侵創(chuàng)造了一片樂(lè)土。服務(wù)供應(yīng)商有責(zé)任支持執(zhí)法活動(dòng)，對(duì)于合法監(jiān)聽(tīng)要求，他們面臨著確保虛擬環(huán)境具有相當(dāng)靈活性和能見(jiàn)度的巨大壓力。企業(yè)的當(dāng)務(wù)之急應(yīng)該是將安全因素融入網(wǎng)絡(luò)架構(gòu)，而不是將安全視為點(diǎn)解決方案。

具有成本效益的虛擬解決方案應(yīng)該從能見(jiàn)度、合規(guī)性、可靠性和生命周期情報(bào)等方面來(lái)滿足合法監(jiān)聽(tīng)需求

為了在虛擬化環(huán)境執(zhí)行合法監(jiān)控任務(wù)，執(zhí)法機(jī)構(gòu)需要服務(wù)供應(yīng)商提供一個(gè)虛擬化跨系統(tǒng)合法監(jiān)控架構(gòu)---可以監(jiān)測(cè)和關(guān)聯(lián)vMigration;監(jiān)控虛擬機(jī)間流量和保持多管理程序支持。

網(wǎng)絡(luò)虛擬Tap是服務(wù)供應(yīng)商滿足合法監(jiān)聽(tīng)安全、性能監(jiān)控和合規(guī)需求的理想資源。這種Tap能夠提供虛擬機(jī)間流量100%的可視性—捕捉服務(wù)器間傳遞的所有數(shù)據(jù)用于審計(jì)目的。它可以在收集點(diǎn)過(guò)濾出感興趣的數(shù)據(jù)包，而不是在檢查點(diǎn)，這最大限度地減少了不相關(guān)數(shù)據(jù)在網(wǎng)絡(luò)上的傳輸，并且優(yōu)化了工具利用率，將符合要求的數(shù)據(jù)發(fā)送給相應(yīng)的檢查工具。

內(nèi)核設(shè)計(jì)避免了在虛擬交換機(jī)/混雜模式中對(duì)交換端口分析器(SPAN)端口的需要。Tap必須是容錯(cuò)的、非破壞性的，并能夠橋接虛擬流量到物理檢測(cè)工具以確保全面訪問(wèn)能力。與VMwarevCenter的緊密結(jié)合，將能通過(guò)每臺(tái)虛擬機(jī)的實(shí)時(shí)遷移(vMotion)進(jìn)行監(jiān)控。

虛擬Tap會(huì)將雙向鏈接分成兩個(gè)數(shù)據(jù)流，傳感器只有一個(gè)嗅探接口。然后Tap將流量集成到一個(gè)接口(必須確保不會(huì)超過(guò)SPAN端口或傳感器容量)

合法監(jiān)聽(tīng)解決方案還必須映射到虛擬機(jī)生命周期，這些都帶來(lái)監(jiān)測(cè)挑戰(zhàn)。這些生命周期事件包括：

1.創(chuàng)建新服務(wù)器

2.轉(zhuǎn)換，因?yàn)闄C(jī)器的IP地址會(huì)改變，所以監(jiān)測(cè)必須通過(guò)vCenter與機(jī)器的ID相關(guān)聯(lián)

3.重新定位，管理程序會(huì)在物理服務(wù)器間移動(dòng)虛擬機(jī)

4.終止，虛擬機(jī)會(huì)被清除干凈或者恢復(fù)到未知狀態(tài)—尤其是當(dāng)創(chuàng)建虛擬機(jī)用于處理峰值時(shí)

與vCenter管理緊密結(jié)合的虛擬Tap能夠在整個(gè)生命周期提供無(wú)縫連續(xù)監(jiān)測(cè)，而不會(huì)干擾或者中斷網(wǎng)絡(luò)。

將目標(biāo)流量疏通到物理層面

對(duì)于需要擴(kuò)展物理Taping到局域網(wǎng)/廣域網(wǎng)/云基礎(chǔ)設(shè)施的網(wǎng)絡(luò)，高吞吐量的通道設(shè)備可以從虛擬監(jiān)控來(lái)處理封裝網(wǎng)絡(luò)流量。這種專為原始網(wǎng)絡(luò)流量的點(diǎn)到點(diǎn)轉(zhuǎn)換優(yōu)化的設(shè)備將從虛擬Tap來(lái)封裝流量，并且通道設(shè)備為雙向10GB線速。全球部署能力能使遠(yuǎn)程地區(qū)捕捉到目標(biāo)流量，即使當(dāng)?shù)土髁坎](méi)有反應(yīng)到本地儀表層或者IT人員。目標(biāo)流量會(huì)進(jìn)行簡(jiǎn)單地封裝，并發(fā)送到中央位置以便于托管服務(wù)供應(yīng)商管理。

負(fù)載均衡解決超額認(rèn)購(gòu)問(wèn)題以及利用1G工具

負(fù)載均衡是共享網(wǎng)絡(luò)多種工具之間的數(shù)據(jù)負(fù)載的不二選擇。加上更多端點(diǎn)的中央情報(bào)，負(fù)載平衡還可以利用現(xiàn)有的1G工具(相對(duì)較便宜)，給服務(wù)供應(yīng)商更多時(shí)間來(lái)規(guī)劃未來(lái)增長(zhǎng)。

通過(guò)深層包檢測(cè)(DPI是一種先進(jìn)的包過(guò)濾方法，它在開(kāi)放系統(tǒng)互連(OSI)參考模型的應(yīng)用層中起作用)的預(yù)過(guò)濾可以對(duì)任何端口的流量進(jìn)行檢測(cè)。通過(guò)深層包檢測(cè)，用戶可以識(shí)別感興趣的數(shù)據(jù)，并將數(shù)據(jù)轉(zhuǎn)發(fā)到相應(yīng)的監(jiān)測(cè)/記錄工具。為了滿足合法監(jiān)聽(tīng)要求，用戶可以捕捉和提取通信內(nèi)容(ContentofCommunication,CC)和監(jiān)聽(tīng)的相關(guān)信息(InterceptRelatedInformation,IRI)。通過(guò)深層包檢測(cè)的過(guò)濾還可以分理出與詢問(wèn)意外收集信息主題相關(guān)的信息，并將信息調(diào)整為預(yù)定義交付格式。

總言之，VirtualTapping可以提供全面可視性、可擴(kuò)展性、靈活性和可靠性以滿足高容量虛擬網(wǎng)絡(luò)環(huán)境的合法監(jiān)聽(tīng)調(diào)整。VirtualTapping還允許先進(jìn)的負(fù)載平衡和深層包檢測(cè)來(lái)優(yōu)化1G監(jiān)測(cè)。

【編輯推薦】

1. 虛擬化不再是網(wǎng)絡(luò)安全黑洞
2. 虛擬化安全問(wèn)題：在哪里安置防火墻連接？
3. 虛擬化和云計(jì)算趨勢(shì)下的IT管理
4. 如何應(yīng)對(duì)層出不窮的虛擬化安全問(wèn)題？