解析虚拟化、云设施和合法监听的挑战

虚拟化、云设施和合法监听的挑战

现在，执法机构和服务提供商面临着巨大压力，因为他们要拦截恐怖分子和其他恶意入侵者，而这些人往往具备更先进的专业技术知识和更加丰富的资源。比如，在过去，识别采用知名端口号的点对点应用或对话是一件相对容易的事，但是这种情况已经不再。流量模式已经发生了变化，而且现在大多数应用都利用标准HTTP和SSL进行通讯，这就为合法监听系统以更少的过滤选项负担更大的数据容量、识别更多目标增加了难度。

此外，社交网络的使用正在呈指数型增长，这就给不法分子提供了更加广泛的可利用加密通信渠道。现在，切实有效的合法监听技术必须能够收集大量流量，并以前所未有的高速率和精确的可靠性来处理数据。

保护网络免受各种威胁

按照法律，服务提供商必须对所需设备进行维护，用以满足合法监听的高风险任务的独特需求。解决方案应该遵循合法监听标准，并且能够隔离可疑语音、视频或数据流，从而基于IP地址、MAC地址或其他参数进行监听。为了实现这一目标，合法监听对技术需要具备以下能力：

可以拦截所有符合特定目标的通信，而且没有覆盖盲区，包括丢包，因为丢失的加密字符有可能导致信息无法读取或不完整;

在通信流中的任何节点都能提供针对网络流量的全面可视性，并且不存在盲点;

与网络带宽相匹配的足够处理速度;

不可检测性、不可见性及性能下降缺陷(以红旗作为符号，预警犯罪分子和恐怖分子已被监听);

实时监测能力，因为在防范犯罪或攻击以及收集证据的过程中，时间至关重要;

能够按照双方商定的格式为当局提供所监听到的信息;

具备负载共享技术，并能平衡提交至合法监听系统的流量。

网络运营商和服务提供商也都有着他们各自的需求，包括成本效益、对网络的影响最小、与现有技术的兼容性和面向未来的可扩展性。

虚拟化部署使合法监听的风险更高

虚拟化不仅是一种趋势，更是一项革命。虚拟技术和云服务的采用不仅是对融合(物理与虚拟)网络中合法监听合规性的挑战，也是对同构网络环境的挑战。虽然虚拟化会在资本支出方面带来巨大提升，但是，被动监测虚拟机间流量这种功能尚且无法实现。

目前，云计算在IT投资中所占比重还不足2%，然而根据IDC估算，到2015年，将有近20%的信息依靠云计算来传递，其中将有10%的信息保存在云端。

弹性和缺乏虚拟化可视性成为安全威胁

为了进行有效的合法监听，执法机构和服务提供商需要拥有针对整个网络的全面可视性，包括数据中心、核心网络和远程分支机构。任何一处无法查看的站点都极易受到攻击。缺乏虚拟机间流量可视性会降低对虚拟服务器间流经数据的审查能力，随之而来的结果就是无法查明资源虚拟化问题。直到最近，虚拟化几乎已经成为非可视性的代名词，由此会引发服务器安全、监测与合规性风险。

在配合合法监听方面，虚拟环境和云的弹性及全面性实在不令人乐观。例如，如果相关虚拟机目标转移到新泽西，将对华盛顿州当地政府部门发放的合法监听许可有何影响?如果相关虚拟机目标转移到其他国家，美国政府所发放的合法监听许可又是否还有效力?

可惜的是，所谓的“安全边界”已经不复存在，从而导致合规性、内部/外部入侵、合法监听及网络犯罪问题的增加。安全必须成为实体网络架构必不可缺的组成部分，而非一个单点解决方案。虽然万兆监测与安全工具能够以线速运行且具备理想的低延迟性，但是这种工具的缺乏与其昂贵的价格，使得实现安全性成为了一项关键挑战。随着虚拟机间容量的不断增长， 虚拟交换机这种独立的有线基础设施，将能够轻松地以10GB速率运行。

网速与复杂性不断提升

随着新型VoIP、4G/LTE和视频应用的普及，网络正在变得更加复杂。为了使问题进一步复杂化，诸如抖动、过载和阻塞等不良影响都在万兆网络中被放大。提高速率会产生链路饱和与过载问题，因为目前的工具和手段依然无法以10G、40G和100G速率运行。

当队列超出物理硬件缓冲区大小时，会发生交换过载及丢包的情况。即使在低流量或平均流量下，过载也可能造成排队情况，从而导致短时间的最大带宽占用情况。这就为质量下降和不良后果埋下了伏笔。

当发生延迟和抖动时，只有一个数据包可以从交换机的一个物理输出端口中传输，这同样存在风险。资源冲突是另一种可靠功能背后的威胁，当两个数据包从不同的输入端口几乎同时到达同一个输出端口(上行链路)时，就会发生这种情况。