在過去十年左右的時間里，安全行業一直在爭論深度數據包檢測 (DPI) 是否已經消亡。事實上，有些人甚至開玩笑地稱其為“死投資”。隨著現代網絡變得越來越分散，這種爭論最近愈演愈烈，使我們達到了一個臨界點，即許多組織的權衡變得不可持續。

最近的研究發現，大約 87% 的企業正在采用多云方法，這意味著部署可以幫助安全團隊了解其網絡上的內容的解決方案變得越來越棘手。坦率地說，即使在大多數物理本地環境中，它也變得相當棘手，特別是隨著越來越多的組織轉向需要加密的零信任模型。這使得 DPI 很難了解網絡流量以檢查數據包，并且任何解決方法通常都非常昂貴且難以部署。

也就是說，DPI 事實上并沒有消亡。但它越來越難以擴展。從歷史上看，網絡主要由位于受控數量的設置和位置的設備組成。這使得在任何地方部署 DPI 變得更加易于管理。現在，我們在各種不同環境（從本地到云和多云，甚至混合環境）中部署的設備、水龍頭、傳感器和代理的數量使得這幾乎是不可能的。再加上到達所有這些點的巨大帶寬和各種流量，以及檢查所有這些點所需的計算資源，我們正在考慮對大多數組織來說，這是一項極其昂貴的工作。

在零信任環境中尤其如此：團隊必須平衡解密流量的成本與他們需要檢查的內容。檢查流量所需的專業技術所涉及的財務成本以及與之相關的計算成本可能會進一步增加賬單。然后隨著網絡的擴展，你必須增加更多的DPI，財務成本也會隨之增加。 

安全團隊必須采用基于風險的方法來確定在哪里部署 DPI 最有意義。如果他們充分了解網絡的哪些區域是攻擊者的高價值目標（例如計費部門中保存敏感客戶財務信息且必須遵守 PCI 法規的服務器），他們就可以為這些區域實施和管理 DPI。做出這樣的決定只是良好的安全實踐。

DPI 還可以幫助進行行為分析，使安全團隊能夠識別其他安全工具無法檢測到的異常網絡行為。它還可以幫助分析對于了解網絡流量類型至關重要的特定協議和應用程序。

然而，正如之前提到的，DPI 真正崩潰的地方是云、多云和本地環境真正發揮作用的不斷發展的分散網絡。由于隱私和安全挑戰等多種原因，云中的 DPI 根本不實用，而且在許多情況下，云提供商不希望大規模提供數據包。雖然云的數據包分流聚合器確實存在，但它們通常價格昂貴且難以管理和維護，甚至需要一定程度的解密。

對于那些不需要 DPI 提供的高保真檢查的領域，可以使用流量分析等替代技術，該技術可聚合通過 IP 地址、端口和協議等公共屬性傳遞的數據包。流分析還結合了豐富的元數據，無論加密如何，都可以識別異常或惡意行為。Flow 還可以與來自網絡應用程序服務（例如 DNS）的日志相結合，以更深入地了解網絡上發生的情況。它可以完全在云中完成，從而可以在團隊需要的時間和地點進行自動配置和自動注冊以實現可見性，而不必需要設備或其他本地硬件部署。

DPI 在現代 SOC 中仍然有用，但其有效性和相關性取決于組織的特定安全需求。團隊明智的做法是將其部署在風險最高的區域，并將其與其他安全技術（例如 Netflow 和其他流量元數據日志分析）結合使用。與其他安全技術相結合，團隊可以在 DPI 之間取得良好的平衡，創建全面的安全策略，確保網絡可見性和強大的訪問控制，同時實現大幅降低 TCO 的結果。