虛擬化為網(wǎng)絡架構師在服務器部署中創(chuàng)造了極大的靈活性，并節(jié)約了成本。與此同時，這種靈活性也制造了掩蓋非法活動的機會，還有可能阻撓或延遲執(zhí)法(合法監(jiān)聽LawfulInterception，指的是可以滿足政府對路由器數(shù)據(jù)進行監(jiān)聽的需要)和起訴，因為虛擬主機可以跨地域或跨法律管轄區(qū)地移動。

通過運用適當?shù)墓ぞ吆拖嚓P知識，企業(yè)就可以解決融合網(wǎng)絡環(huán)境內虛擬化面臨的合法監(jiān)聽和合規(guī)挑戰(zhàn)，以及采取措施來阻止“司法管轄權越區(qū)”。

保護虛擬基礎設施需要創(chuàng)新的戰(zhàn)略和解決方案，并應確保支持服務供應商和執(zhí)法機構履行各自的職責。

虛擬化、云基礎設施帶來監(jiān)控挑戰(zhàn)

執(zhí)法機構和服務供應商面臨著巨大的壓力----他們需要阻止恐怖分子和其他惡意入侵者，而這些人通常具備精湛的技術能力和豐富的資源。例如，在過去，我們能夠比較簡單地識別點到點應用程序或者使用已知端口號的對話框，但是現(xiàn)在事情已經(jīng)沒那么簡單。流量模式已經(jīng)改變，并且現(xiàn)在大多數(shù)應用程序使用標準HTTP和SSL來通信，這對合法監(jiān)聽系統(tǒng)而言無疑是巨大的負擔，他們需要從大量數(shù)據(jù)中識別更多目標，而過濾選項少之又少。

社交網(wǎng)絡無疑更是雪上加霜，讓不法分子可以利用各種加密通信通道來進行犯罪活動。

有效的法律監(jiān)聽技術必須能夠以前所未有的高速度和高精準度來收集流量和處理數(shù)據(jù)。

抵御多重威脅保護網(wǎng)絡

根據(jù)法律規(guī)定，服務供應商必須提供必要的設備來滿足合法監(jiān)聽的高風險任務的獨特需求。解決方案應該映射到合法監(jiān)聽標準，并且能夠根據(jù)基于IP地址、MAC地址或其它參數(shù)的攔截來隔離可疑的語音、視頻或數(shù)據(jù)流。為了實現(xiàn)這個目標，合法監(jiān)聽需要：

攔截某個目標的所有通信的能力，包括丟棄的數(shù)據(jù)包，因為丟失的加密支付可能導致信息不可讀或者不完整；

通信流量中任何端點的網(wǎng)絡流量都是可見的---不能存在任何盲點；

與網(wǎng)絡帶寬相匹配的足夠的處理速度；

不可檢測性、不可觀測性和缺乏性能降低(當攔截到不法分子和恐怖分子時的紅色警告標記)；

實時監(jiān)控能力，因為時間是預防犯罪或攻擊和收集證據(jù)的根本要素；

向當局提供攔截信息作為證據(jù)的能力；

對合法監(jiān)聽系統(tǒng)的流量的負載共享和負載均衡的技術；

此外，網(wǎng)絡運營商和服務供應商也有各自的需要，包括成本效益、盡量降低對網(wǎng)絡的影響、與享有技術的兼容性和可擴展性等。#p#

虛擬化部署提高了合法監(jiān)聽的風險

虛擬化并不只是一種趨勢，而是一場革命。虛擬化和云服務的普及給融合(物理和虛擬)環(huán)境以及同質環(huán)境的合法監(jiān)聽合規(guī)帶來挑戰(zhàn)。雖然虛擬化的勢頭會給CAPEX(減少資本開支)帶來改進，但被動監(jiān)測虛擬機內流量的能力幾乎已經(jīng)不存在。云計算目前只占IT開支不到2%，但是據(jù)IDC估計，到2015年，將會有近20%的信息“經(jīng)過”云計算，高達10%的信息將會保存在云環(huán)境中。

虛擬化的彈性和缺乏能見度帶來安全風險

為了有效地執(zhí)行合法監(jiān)聽，執(zhí)法機構和服務供應商需要對整個網(wǎng)絡具有可視性，包括數(shù)據(jù)中心、核心網(wǎng)絡和遠程分支機構等。任何不可見的部分都是容易受到攻擊的部分。缺乏對虛擬機內流量的能見度降低了對虛擬服務器間傳輸?shù)臄?shù)據(jù)的審計的能力，這樣最終也無法確定資源虛擬化問題。直到最近，虛擬化本身還是隱形的代名詞，帶來很大的安全、監(jiān)控和合規(guī)風險。

從合法監(jiān)聽角度來看，虛擬化環(huán)境和云環(huán)境都太具有彈性和全球性。例如，如果虛擬機目標計劃轉移到新澤西州，發(fā)出合法監(jiān)聽令的華盛頓州當局該如何處理?如果虛擬機目標轉移到另一個國家，發(fā)出合法監(jiān)聽令的國家該怎么辦?

不幸的是，這種所謂的“安全邊界”已經(jīng)不再存在，從而引發(fā)了合規(guī)、內部/外部入侵、合法攔截和網(wǎng)絡犯罪等問題。安全必須成為實際網(wǎng)絡架構的一個組成部分，而不是點解決方案。

網(wǎng)絡速度和復雜度正在不斷上升

隨著VoIP、4G/LTE和視頻等新應用的普及，網(wǎng)絡變得越來越復雜。讓問題進一步復雜化的是，網(wǎng)絡抖動、超額認購和阻塞等問題在10G網(wǎng)絡中都被放大了。加快速度將導致鏈接飽和以及超額認購等問題，因為在10G、40G和100G速率，目前的工具和手段根本無法跟上。

當隊列超出物理硬件緩沖區(qū)的大小時，會發(fā)生交換超額認購，并且數(shù)據(jù)包被丟棄。即使在較低流量或平均流量，超額認購可能造成排隊，導致短期內的最大帶寬利用率。

延時和抖動也具有風險，因為交換機的每個物理輸出端口只能傳輸一個數(shù)據(jù)包。資源沖突則是另一個對性能的威脅，當來自不同輸入端口的兩個數(shù)據(jù)包在同一時間到達同一個輸出端口時可能出現(xiàn)資源沖突。

技術限制：混雜模式和SPAN端口的使用

現(xiàn)有的虛擬監(jiān)控解決方案需要混雜模式和利用交換端口分析器(SPAN)端口。但是交換級的監(jiān)控可以降低vSwitch吞吐量高達50%，因此這種方法可能需要多個vSwitch來重新創(chuàng)建足夠的吞吐能力。使用SPAN端口會暴露所有流量(相關的和不相關的)最高容量達每vSwitch10GB。在托管的情況下，多個客戶可能位于相同的虛擬機(可能每個物理虛擬服務器幾個客戶)，因此這大大增加了復雜性。

此外，鏡像流量不允許過濾來捕獲目標流量，它只允許捕捉全部流量，由于有很多“無用的”流量通過網(wǎng)絡傳輸，這將成為很大的障礙。

探針是一種虛擬機層機器/設備，旨在其駐留的密封服務器中運行，可能僅適用于特定產品。大多數(shù)本地虛擬機探針需要專門的核心來運行，它們不能提供對環(huán)境的整體視圖，因此不能提供大范圍的能見度。相反的，集成流量的工具可以查看整個網(wǎng)絡或數(shù)據(jù)中心的流量模式。#p#

合法監(jiān)聽任務帶來的成本問題

服務供應商在滿足合法監(jiān)控要求時，也需要花費更多成本。為了滿足合法監(jiān)控要求，服務供應商將新增培訓費用、遷移和運營費用。這些成本會隨著內容分類需求的壓力和安全威脅的變化而不斷增加。

整體成本也將隨之增加，因為需要保持全面的監(jiān)控能力(很可能是不相關的)，并且需要將所有從有線網(wǎng)絡捕捉的數(shù)據(jù)傳輸?shù)綌?shù)據(jù)儀表層---另一個高成本基礎設施要求。對于服務供應商而言，利用1G網(wǎng)絡中現(xiàn)有的工具，而推遲購買昂貴的10G網(wǎng)絡監(jiān)控工具，是非常不錯的選擇。

當今迅速增長的數(shù)據(jù)量以及虛擬化加快發(fā)展的步伐給服務供應商滿足合法監(jiān)聽的要求帶來了新的挑戰(zhàn)。虛擬化雖然為企業(yè)創(chuàng)造了驚人的效率和效益，但其本身也為非法活動和非法入侵創(chuàng)造了一片樂土。服務供應商有責任支持執(zhí)法活動，對于合法監(jiān)聽要求，他們面臨著確保虛擬環(huán)境具有相當靈活性和能見度的巨大壓力。企業(yè)的當務之急應該是將安全因素融入網(wǎng)絡架構，而不是將安全視為點解決方案。

具有成本效益的虛擬解決方案應該從能見度、合規(guī)性、可靠性和生命周期情報等方面來滿足合法監(jiān)聽需求

為了在虛擬化環(huán)境執(zhí)行合法監(jiān)控任務，執(zhí)法機構需要服務供應商提供一個虛擬化跨系統(tǒng)合法監(jiān)控架構---可以監(jiān)測和關聯(lián)vMigration;監(jiān)控虛擬機間流量和保持多管理程序支持。

網(wǎng)絡虛擬Tap是服務供應商滿足合法監(jiān)聽安全、性能監(jiān)控和合規(guī)需求的理想資源。這種Tap能夠提供虛擬機間流量100%的可視性—捕捉服務器間傳遞的所有數(shù)據(jù)用于審計目的。它可以在收集點過濾出感興趣的數(shù)據(jù)包，而不是在檢查點，這最大限度地減少了不相關數(shù)據(jù)在網(wǎng)絡上的傳輸，并且優(yōu)化了工具利用率，將符合要求的數(shù)據(jù)發(fā)送給相應的檢查工具。

內核設計避免了在虛擬交換機/混雜模式中對交換端口分析器(SPAN)端口的需要。Tap必須是容錯的、非破壞性的，并能夠橋接虛擬流量到物理檢測工具以確保全面訪問能力。與VMwarevCenter的緊密結合，將能通過每臺虛擬機的實時遷移(vMotion)進行監(jiān)控。

虛擬Tap會將雙向鏈接分成兩個數(shù)據(jù)流，傳感器只有一個嗅探接口。然后Tap將流量集成到一個接口(必須確保不會超過SPAN端口或傳感器容量)

合法監(jiān)聽解決方案還必須映射到虛擬機生命周期，這些都帶來監(jiān)測挑戰(zhàn)。這些生命周期事件包括：

1.創(chuàng)建新服務器

2.轉換，因為機器的IP地址會改變，所以監(jiān)測必須通過vCenter與機器的ID相關聯(lián)

3.重新定位，管理程序會在物理服務器間移動虛擬機

4.終止，虛擬機會被清除干凈或者恢復到未知狀態(tài)—尤其是當創(chuàng)建虛擬機用于處理峰值時

與vCenter管理緊密結合的虛擬Tap能夠在整個生命周期提供無縫連續(xù)監(jiān)測，而不會干擾或者中斷網(wǎng)絡。

將目標流量疏通到物理層面

對于需要擴展物理Taping到局域網(wǎng)/廣域網(wǎng)/云基礎設施的網(wǎng)絡，高吞吐量的通道設備可以從虛擬監(jiān)控來處理封裝網(wǎng)絡流量。這種專為原始網(wǎng)絡流量的點到點轉換優(yōu)化的設備將從虛擬Tap來封裝流量，并且通道設備為雙向10GB線速。全球部署能力能使遠程地區(qū)捕捉到目標流量，即使當?shù)土髁坎]有反應到本地儀表層或者IT人員。目標流量會進行簡單地封裝，并發(fā)送到中央位置以便于托管服務供應商管理。

負載均衡解決超額認購問題以及利用1G工具

負載均衡是共享網(wǎng)絡多種工具之間的數(shù)據(jù)負載的不二選擇。加上更多端點的中央情報，負載平衡還可以利用現(xiàn)有的1G工具(相對較便宜)，給服務供應商更多時間來規(guī)劃未來增長。

通過深層包檢測(DPI是一種先進的包過濾方法，它在開放系統(tǒng)互連(OSI)參考模型的應用層中起作用)的預過濾可以對任何端口的流量進行檢測。通過深層包檢測，用戶可以識別感興趣的數(shù)據(jù)，并將數(shù)據(jù)轉發(fā)到相應的監(jiān)測/記錄工具。為了滿足合法監(jiān)聽要求，用戶可以捕捉和提取通信內容(ContentofCommunication,CC)和監(jiān)聽的相關信息(InterceptRelatedInformation,IRI)。通過深層包檢測的過濾還可以分理出與詢問意外收集信息主題相關的信息，并將信息調整為預定義交付格式。

總言之，VirtualTapping可以提供全面可視性、可擴展性、靈活性和可靠性以滿足高容量虛擬網(wǎng)絡環(huán)境的合法監(jiān)聽調整。VirtualTapping還允許先進的負載平衡和深層包檢測來優(yōu)化1G監(jiān)測。

【編輯推薦】

1. 虛擬化不再是網(wǎng)絡安全黑洞
2. 虛擬化安全問題：在哪里安置防火墻連接？
3. 虛擬化和云計算趨勢下的IT管理
4. 如何應對層出不窮的虛擬化安全問題？