在過(guò)去十年左右的時(shí)間里，安全行業(yè)一直在爭(zhēng)論深度數(shù)據(jù)包檢測(cè) (DPI) 是否已經(jīng)消亡。事實(shí)上，有些人甚至開(kāi)玩笑地稱(chēng)其為“死投資”。隨著現(xiàn)代網(wǎng)絡(luò)變得越來(lái)越分散，這種爭(zhēng)論最近愈演愈烈，使我們達(dá)到了一個(gè)臨界點(diǎn)，即許多組織的權(quán)衡變得不可持續(xù)。

最近的研究發(fā)現(xiàn)，大約 87% 的企業(yè)正在采用多云方法，這意味著部署可以幫助安全團(tuán)隊(duì)了解其網(wǎng)絡(luò)上的內(nèi)容的解決方案變得越來(lái)越棘手。坦率地說(shuō)，即使在大多數(shù)物理本地環(huán)境中，它也變得相當(dāng)棘手，特別是隨著越來(lái)越多的組織轉(zhuǎn)向需要加密的零信任模型。這使得 DPI 很難了解網(wǎng)絡(luò)流量以檢查數(shù)據(jù)包，并且任何解決方法通常都非常昂貴且難以部署。

也就是說(shuō)，DPI 事實(shí)上并沒(méi)有消亡。但它越來(lái)越難以擴(kuò)展。從歷史上看，網(wǎng)絡(luò)主要由位于受控?cái)?shù)量的設(shè)置和位置的設(shè)備組成。這使得在任何地方部署 DPI 變得更加易于管理?，F(xiàn)在，我們?cè)诟鞣N不同環(huán)境（從本地到云和多云，甚至混合環(huán)境）中部署的設(shè)備、水龍頭、傳感器和代理的數(shù)量使得這幾乎是不可能的。再加上到達(dá)所有這些點(diǎn)的巨大帶寬和各種流量，以及檢查所有這些點(diǎn)所需的計(jì)算資源，我們正在考慮對(duì)大多數(shù)組織來(lái)說(shuō)，這是一項(xiàng)極其昂貴的工作。

在零信任環(huán)境中尤其如此：團(tuán)隊(duì)必須平衡解密流量的成本與他們需要檢查的內(nèi)容。檢查流量所需的專(zhuān)業(yè)技術(shù)所涉及的財(cái)務(wù)成本以及與之相關(guān)的計(jì)算成本可能會(huì)進(jìn)一步增加賬單。然后隨著網(wǎng)絡(luò)的擴(kuò)展，你必須增加更多的DPI，財(cái)務(wù)成本也會(huì)隨之增加。 

安全團(tuán)隊(duì)必須采用基于風(fēng)險(xiǎn)的方法來(lái)確定在哪里部署 DPI 最有意義。如果他們充分了解網(wǎng)絡(luò)的哪些區(qū)域是攻擊者的高價(jià)值目標(biāo)（例如計(jì)費(fèi)部門(mén)中保存敏感客戶財(cái)務(wù)信息且必須遵守 PCI 法規(guī)的服務(wù)器），他們就可以為這些區(qū)域?qū)嵤┖凸芾?DPI。做出這樣的決定只是良好的安全實(shí)踐。

DPI 還可以幫助進(jìn)行行為分析，使安全團(tuán)隊(duì)能夠識(shí)別其他安全工具無(wú)法檢測(cè)到的異常網(wǎng)絡(luò)行為。它還可以幫助分析對(duì)于了解網(wǎng)絡(luò)流量類(lèi)型至關(guān)重要的特定協(xié)議和應(yīng)用程序。

然而，正如之前提到的，DPI 真正崩潰的地方是云、多云和本地環(huán)境真正發(fā)揮作用的不斷發(fā)展的分散網(wǎng)絡(luò)。由于隱私和安全挑戰(zhàn)等多種原因，云中的 DPI 根本不實(shí)用，而且在許多情況下，云提供商不希望大規(guī)模提供數(shù)據(jù)包。雖然云的數(shù)據(jù)包分流聚合器確實(shí)存在，但它們通常價(jià)格昂貴且難以管理和維護(hù)，甚至需要一定程度的解密。

對(duì)于那些不需要 DPI 提供的高保真檢查的領(lǐng)域，可以使用流量分析等替代技術(shù)，該技術(shù)可聚合通過(guò) IP 地址、端口和協(xié)議等公共屬性傳遞的數(shù)據(jù)包。流分析還結(jié)合了豐富的元數(shù)據(jù)，無(wú)論加密如何，都可以識(shí)別異常或惡意行為。Flow 還可以與來(lái)自網(wǎng)絡(luò)應(yīng)用程序服務(wù)（例如 DNS）的日志相結(jié)合，以更深入地了解網(wǎng)絡(luò)上發(fā)生的情況。它可以完全在云中完成，從而可以在團(tuán)隊(duì)需要的時(shí)間和地點(diǎn)進(jìn)行自動(dòng)配置和自動(dòng)注冊(cè)以實(shí)現(xiàn)可見(jiàn)性，而不必需要設(shè)備或其他本地硬件部署。

DPI 在現(xiàn)代 SOC 中仍然有用，但其有效性和相關(guān)性取決于組織的特定安全需求。團(tuán)隊(duì)明智的做法是將其部署在風(fēng)險(xiǎn)最高的區(qū)域，并將其與其他安全技術(shù)（例如 Netflow 和其他流量元數(shù)據(jù)日志分析）結(jié)合使用。與其他安全技術(shù)相結(jié)合，團(tuán)隊(duì)可以在 DPI 之間取得良好的平衡，創(chuàng)建全面的安全策略，確保網(wǎng)絡(luò)可見(jiàn)性和強(qiáng)大的訪問(wèn)控制，同時(shí)實(shí)現(xiàn)大幅降低 TCO 的結(jié)果。