虛擬化帶來安全風險 網絡監控面臨挑戰
虛擬化為網絡架構師在服務器部署中創造了極大的靈活性,并節約了成本。與此同時,這種靈活性也制造了掩蓋非法活動的機會,還有可能阻撓或延遲執法(合法監聽LawfulInterception,指的是可以滿足政府對路由器數據進行監聽的需要)和起訴,因為虛擬主機可以跨地域或跨法律管轄區地移動。
通過運用適當的工具和相關知識,企業就可以解決融合網絡環境內虛擬化面臨的合法監聽和合規挑戰,以及采取措施來阻止“司法管轄權越區”。
保護虛擬基礎設施需要創新的戰略和解決方案,并應確保支持服務供應商和執法機構履行各自的職責。
虛擬化、云基礎設施帶來監控挑戰
執法機構和服務供應商面臨著巨大的壓力----他們需要阻止恐怖分子和其他惡意入侵者,而這些人通常具備精湛的技術能力和豐富的資源。例如,在過去,我們能夠比較簡單地識別點到點應用程序或者使用已知端口號的對話框,但是現在事情已經沒那么簡單。流量模式已經改變,并且現在大多數應用程序使用標準HTTP和SSL來通信,這對合法監聽系統而言無疑是巨大的負擔,他們需要從大量數據中識別更多目標,而過濾選項少之又少。
社交網絡無疑更是雪上加霜,讓不法分子可以利用各種加密通信通道來進行犯罪活動。
有效的法律監聽技術必須能夠以前所未有的高速度和高精準度來收集流量和處理數據。
抵御多重威脅保護網絡
根據法律規定,服務供應商必須提供必要的設備來滿足合法監聽的高風險任務的獨特需求。解決方案應該映射到合法監聽標準,并且能夠根據基于IP地址、MAC地址或其它參數的攔截來隔離可疑的語音、視頻或數據流。為了實現這個目標,合法監聽需要:
攔截某個目標的所有通信的能力,包括丟棄的數據包,因為丟失的加密支付可能導致信息不可讀或者不完整;
通信流量中任何端點的網絡流量都是可見的---不能存在任何盲點;
與網絡帶寬相匹配的足夠的處理速度;
不可檢測性、不可觀測性和缺乏性能降低(當攔截到不法分子和恐怖分子時的紅色警告標記);
實時監控能力,因為時間是預防犯罪或攻擊和收集證據的根本要素;
向當局提供攔截信息作為證據的能力;
對合法監聽系統的流量的負載共享和負載均衡的技術;
此外,網絡運營商和服務供應商也有各自的需要,包括成本效益、盡量降低對網絡的影響、與享有技術的兼容性和可擴展性等。#p#
虛擬化部署提高了合法監聽的風險
虛擬化并不只是一種趨勢,而是一場革命。虛擬化和云服務的普及給融合(物理和虛擬)環境以及同質環境的合法監聽合規帶來挑戰。雖然虛擬化的勢頭會給CAPEX(減少資本開支)帶來改進,但被動監測虛擬機內流量的能力幾乎已經不存在。云計算目前只占IT開支不到2%,但是據IDC估計,到2015年,將會有近20%的信息“經過”云計算,高達10%的信息將會保存在云環境中。
虛擬化的彈性和缺乏能見度帶來安全風險
為了有效地執行合法監聽,執法機構和服務供應商需要對整個網絡具有可視性,包括數據中心、核心網絡和遠程分支機構等。任何不可見的部分都是容易受到攻擊的部分。缺乏對虛擬機內流量的能見度降低了對虛擬服務器間傳輸的數據的審計的能力,這樣最終也無法確定資源虛擬化問題。直到最近,虛擬化本身還是隱形的代名詞,帶來很大的安全、監控和合規風險。
從合法監聽角度來看,虛擬化環境和云環境都太具有彈性和全球性。例如,如果虛擬機目標計劃轉移到新澤西州,發出合法監聽令的華盛頓州當局該如何處理?如果虛擬機目標轉移到另一個國家,發出合法監聽令的國家該怎么辦?
不幸的是,這種所謂的“安全邊界”已經不再存在,從而引發了合規、內部/外部入侵、合法攔截和網絡犯罪等問題。安全必須成為實際網絡架構的一個組成部分,而不是點解決方案。
網絡速度和復雜度正在不斷上升
隨著VoIP、4G/LTE和視頻等新應用的普及,網絡變得越來越復雜。讓問題進一步復雜化的是,網絡抖動、超額認購和阻塞等問題在10G網絡中都被放大了。加快速度將導致鏈接飽和以及超額認購等問題,因為在10G、40G和100G速率,目前的工具和手段根本無法跟上。
當隊列超出物理硬件緩沖區的大小時,會發生交換超額認購,并且數據包被丟棄。即使在較低流量或平均流量,超額認購可能造成排隊,導致短期內的最大帶寬利用率。
延時和抖動也具有風險,因為交換機的每個物理輸出端口只能傳輸一個數據包。資源沖突則是另一個對性能的威脅,當來自不同輸入端口的兩個數據包在同一時間到達同一個輸出端口時可能出現資源沖突。
技術限制:混雜模式和SPAN端口的使用
現有的虛擬監控解決方案需要混雜模式和利用交換端口分析器(SPAN)端口。但是交換級的監控可以降低vSwitch吞吐量高達50%,因此這種方法可能需要多個vSwitch來重新創建足夠的吞吐能力。使用SPAN端口會暴露所有流量(相關的和不相關的)最高容量達每vSwitch10GB。在托管的情況下,多個客戶可能位于相同的虛擬機(可能每個物理虛擬服務器幾個客戶),因此這大大增加了復雜性。
此外,鏡像流量不允許過濾來捕獲目標流量,它只允許捕捉全部流量,由于有很多“無用的”流量通過網絡傳輸,這將成為很大的障礙。
探針是一種虛擬機層機器/設備,旨在其駐留的密封服務器中運行,可能僅適用于特定產品。大多數本地虛擬機探針需要專門的核心來運行,它們不能提供對環境的整體視圖,因此不能提供大范圍的能見度。相反的,集成流量的工具可以查看整個網絡或數據中心的流量模式。#p#
合法監聽任務帶來的成本問題
服務供應商在滿足合法監控要求時,也需要花費更多成本。為了滿足合法監控要求,服務供應商將新增培訓費用、遷移和運營費用。這些成本會隨著內容分類需求的壓力和安全威脅的變化而不斷增加。
整體成本也將隨之增加,因為需要保持全面的監控能力(很可能是不相關的),并且需要將所有從有線網絡捕捉的數據傳輸到數據儀表層---另一個高成本基礎設施要求。對于服務供應商而言,利用1G網絡中現有的工具,而推遲購買昂貴的10G網絡監控工具,是非常不錯的選擇。
當今迅速增長的數據量以及虛擬化加快發展的步伐給服務供應商滿足合法監聽的要求帶來了新的挑戰。虛擬化雖然為企業創造了驚人的效率和效益,但其本身也為非法活動和非法入侵創造了一片樂土。服務供應商有責任支持執法活動,對于合法監聽要求,他們面臨著確保虛擬環境具有相當靈活性和能見度的巨大壓力。企業的當務之急應該是將安全因素融入網絡架構,而不是將安全視為點解決方案。
具有成本效益的虛擬解決方案應該從能見度、合規性、可靠性和生命周期情報等方面來滿足合法監聽需求
為了在虛擬化環境執行合法監控任務,執法機構需要服務供應商提供一個虛擬化跨系統合法監控架構---可以監測和關聯vMigration;監控虛擬機間流量和保持多管理程序支持。
網絡虛擬Tap是服務供應商滿足合法監聽安全、性能監控和合規需求的理想資源。這種Tap能夠提供虛擬機間流量100%的可視性—捕捉服務器間傳遞的所有數據用于審計目的。它可以在收集點過濾出感興趣的數據包,而不是在檢查點,這最大限度地減少了不相關數據在網絡上的傳輸,并且優化了工具利用率,將符合要求的數據發送給相應的檢查工具。
內核設計避免了在虛擬交換機/混雜模式中對交換端口分析器(SPAN)端口的需要。Tap必須是容錯的、非破壞性的,并能夠橋接虛擬流量到物理檢測工具以確保全面訪問能力。與VMwarevCenter的緊密結合,將能通過每臺虛擬機的實時遷移(vMotion)進行監控。
虛擬Tap會將雙向鏈接分成兩個數據流,傳感器只有一個嗅探接口。然后Tap將流量集成到一個接口(必須確保不會超過SPAN端口或傳感器容量)
合法監聽解決方案還必須映射到虛擬機生命周期,這些都帶來監測挑戰。這些生命周期事件包括:
1.創建新服務器
2.轉換,因為機器的IP地址會改變,所以監測必須通過vCenter與機器的ID相關聯
3.重新定位,管理程序會在物理服務器間移動虛擬機
4.終止,虛擬機會被清除干凈或者恢復到未知狀態—尤其是當創建虛擬機用于處理峰值時
與vCenter管理緊密結合的虛擬Tap能夠在整個生命周期提供無縫連續監測,而不會干擾或者中斷網絡。
將目標流量疏通到物理層面
對于需要擴展物理Taping到局域網/廣域網/云基礎設施的網絡,高吞吐量的通道設備可以從虛擬監控來處理封裝網絡流量。這種專為原始網絡流量的點到點轉換優化的設備將從虛擬Tap來封裝流量,并且通道設備為雙向10GB線速。全球部署能力能使遠程地區捕捉到目標流量,即使當低流量并沒有反應到本地儀表層或者IT人員。目標流量會進行簡單地封裝,并發送到中央位置以便于托管服務供應商管理。
負載均衡解決超額認購問題以及利用1G工具
負載均衡是共享網絡多種工具之間的數據負載的不二選擇。加上更多端點的中央情報,負載平衡還可以利用現有的1G工具(相對較便宜),給服務供應商更多時間來規劃未來增長。
通過深層包檢測(DPI是一種先進的包過濾方法,它在開放系統互連(OSI)參考模型的應用層中起作用)的預過濾可以對任何端口的流量進行檢測。通過深層包檢測,用戶可以識別感興趣的數據,并將數據轉發到相應的監測/記錄工具。為了滿足合法監聽要求,用戶可以捕捉和提取通信內容(ContentofCommunication,CC)和監聽的相關信息(InterceptRelatedInformation,IRI)。通過深層包檢測的過濾還可以分理出與詢問意外收集信息主題相關的信息,并將信息調整為預定義交付格式。
總言之,VirtualTapping可以提供全面可視性、可擴展性、靈活性和可靠性以滿足高容量虛擬網絡環境的合法監聽調整。VirtualTapping還允許先進的負載平衡和深層包檢測來優化1G監測。
【編輯推薦】
