中国领先的IT技术网站
|
|

虚拟化带来安全风险 网络监控面临挑战

虚拟化为网络架构师在服务器部署中创造了极大的灵活性,并节约了成本。与此同时,这种灵活性也制造了掩盖非法活动的机会,还有可能阻挠或延迟执法。

作者:邹铮/译来源:it168|2012-02-20 10:58

开发者大赛路演 | 12月16日,技术创新,北京不见不散


虚拟化为网络架构师在服务器部署中创造了极大的灵活性,并节约了成本。与此同时,这种灵活性也制造了掩盖非法活动的机会,还有可能阻挠或延迟执法(合法监听LawfulInterception,指的是可以满足政府对路由器数据进行监听的需要)和起诉,因为虚拟主机可以跨地域或跨法律管辖区地移动。

通过运用适当的工具和相关知识,企业就可以解决融合网络环境内虚拟化面临的合法监听和合规挑战,以及采取措施来阻止“司法管辖权越区”。

保护虚拟基础设施需要创新的战略和解决方案,并应确保支持服务供应商和执法机构履行各自的职责。

虚拟化、云基础设施带来监控挑战

执法机构和服务供应商面临着巨大的压力----他们需要阻止恐怖分子和其他恶意入侵者,而这些人通常具备精湛的技术能力和丰富的资源。例如,在过去,我们能够比较简单地识别点到点应用程序或者使用已知端口号的对话框,但是现在事情已经没那么简单。流量模式已经改变,并且现在大多数应用程序使用标准HTTP和SSL来通信,这对合法监听系统而言无疑是巨大的负担,他们需要从大量数据中识别更多目标,而过滤选项少之又少。

社交网络无疑更是雪上加霜,让不法分子可以利用各种加密通信通道来进行犯罪活动。

有效的法律监听技术必须能够以前所未有的高速度和高精准度来收集流量和处理数据。

抵御多重威胁保护网络

根据法律规定,服务供应商必须提供必要的设备来满足合法监听的高风险任务的独特需求。解决方案应该映射到合法监听标准,并且能够根据基于IP地址、MAC地址或其它参数的拦截来隔离可疑的语音、视频或数据流。为了实现这个目标,合法监听需要:

拦截某个目标的所有通信的能力,包括丢弃的数据包,因为丢失的加密支付可能导致信息不可读或者不完整;

通信流量中任何端点的网络流量都是可见的---不能存在任何盲点;

与网络带宽相匹配的足够的处理速度;

不可检测性、不可观测性和缺乏性能降低(当拦截到不法分子和恐怖分子时的红色警告标记);

实时监控能力,因为时间是预防犯罪或攻击和收集证据的根本要素;

向当局提供拦截信息作为证据的能力;

对合法监听系统的流量的负载共享和负载均衡的技术;

此外,网络运营商和服务供应商也有各自的需要,包括成本效益、尽量降低对网络的影响、与享有技术的兼容性和可扩展性等。

虚拟化部署提高了合法监听的风险

虚拟化并不只是一种趋势,而是一场革命。虚拟化和云服务的普及给融合(物理和虚拟)环境以及同质环境的合法监听合规带来挑战。虽然虚拟化的势头会给CAPEX(减少资本开支)带来改进,但被动监测虚拟机内流量的能力几乎已经不存在。云计算目前只占IT开支不到2%,但是据IDC估计,到2015年,将会有近20%的信息“经过”云计算,高达10%的信息将会保存在云环境中。

虚拟化的弹性和缺乏能见度带来安全风险

为了有效地执行合法监听,执法机构和服务供应商需要对整个网络具有可视性,包括数据中心、核心网络和远程分支机构等。任何不可见的部分都是容易受到攻击的部分。缺乏对虚拟机内流量的能见度降低了对虚拟服务器间传输的数据的审计的能力,这样最终也无法确定资源虚拟化问题。直到最近,虚拟化本身还是隐形的代名词,带来很大的安全、监控和合规风险。

从合法监听角度来看,虚拟化环境和云环境都太具有弹性和全球性。例如,如果虚拟机目标计划转移到新泽西州,发出合法监听令的华盛顿州当局该如何处理?如果虚拟机目标转移到另一个国家,发出合法监听令的国家该怎么办?

不幸的是,这种所谓的“安全边界”已经不再存在,从而引发了合规、内部/外部入侵、合法拦截和网络犯罪等问题。安全必须成为实际网络架构的一个组成部分,而不是点解决方案。

网络速度和复杂度正在不断上升

随着VoIP、4G/LTE和视频等新应用的普及,网络变得越来越复杂。让问题进一步复杂化的是,网络抖动、超额认购和阻塞等问题在10G网络中都被放大了。加快速度将导致链接饱和以及超额认购等问题,因为在10G、40G和100G速率,目前的工具和手段根本无法跟上。

当队列超出物理硬件缓冲区的大小时,会发生交换超额认购,并且数据包被丢弃。即使在较低流量或平均流量,超额认购可能造成排队,导致短期内的最大带宽利用率。

延时和抖动也具有风险,因为交换机的每个物理输出端口只能传输一个数据包。资源冲突则是另一个对性能的威胁,当来自不同输入端口的两个数据包在同一时间到达同一个输出端口时可能出现资源冲突。

技术限制:混杂模式和SPAN端口的使用

现有的虚拟监控解决方案需要混杂模式和利用交换端口分析器(SPAN)端口。但是交换级的监控可以降低vSwitch吞吐量高达50%,因此这种方法可能需要多个vSwitch来重新创建足够的吞吐能力。使用SPAN端口会暴露所有流量(相关的和不相关的)最高容量达每vSwitch10GB。在托管的情况下,多个客户可能位于相同的虚拟机(可能每个物理虚拟服务器几个客户),因此这大大增加了复杂性。

此外,镜像流量不允许过滤来捕获目标流量,它只允许捕捉全部流量,由于有很多“无用的”流量通过网络传输,这将成为很大的障碍。

探针是一种虚拟机层机器/设备,旨在其驻留的密封服务器中运行,可能仅适用于特定产品。大多数本地虚拟机探针需要专门的核心来运行,它们不能提供对环境的整体视图,因此不能提供大范围的能见度。相反的,集成流量的工具可以查看整个网络或数据中心的流量模式。

合法监听任务带来的成本问题

服务供应商在满足合法监控要求时,也需要花费更多成本。为了满足合法监控要求,服务供应商将新增培训费用、迁移和运营费用。这些成本会随着内容分类需求的压力和安全威胁的变化而不断增加。

整体成本也将随之增加,因为需要保持全面的监控能力(很可能是不相关的),并且需要将所有从有线网络捕捉的数据传输到数据仪表层---另一个高成本基础设施要求。对于服务供应商而言,利用1G网络中现有的工具,而推迟购买昂贵的10G网络监控工具,是非常不错的选择。

当今迅速增长的数据量以及虚拟化加快发展的步伐给服务供应商满足合法监听的要求带来了新的挑战。虚拟化虽然为企业创造了惊人的效率和效益,但其本身也为非法活动和非法入侵创造了一片乐土。服务供应商有责任支持执法活动,对于合法监听要求,他们面临着确保虚拟环境具有相当灵活性和能见度的巨大压力。企业的当务之急应该是将安全因素融入网络架构,而不是将安全视为点解决方案。

具有成本效益的虚拟解决方案应该从能见度、合规性、可靠性和生命周期情报等方面来满足合法监听需求

为了在虚拟化环境执行合法监控任务,执法机构需要服务供应商提供一个虚拟化跨系统合法监控架构---可以监测和关联vMigration;监控虚拟机间流量和保持多管理程序支持。

网络虚拟Tap是服务供应商满足合法监听安全、性能监控和合规需求的理想资源。这种Tap能够提供虚拟机间流量100%的可视性—捕捉服务器间传递的所有数据用于审计目的。它可以在收集点过滤出感兴趣的数据包,而不是在检查点,这最大限度地减少了不相关数据在网络上的传输,并且优化了工具利用率,将符合要求的数据发送给相应的检查工具。

内核设计避免了在虚拟交换机/混杂模式中对交换端口分析器(SPAN)端口的需要。Tap必须是容错的、非破坏性的,并能够桥接虚拟流量到物理检测工具以确保全面访问能力。与VMwarevCenter的紧密结合,将能通过每台虚拟机的实时迁移(vMotion)进行监控。

虚拟Tap会将双向链接分成两个数据流,传感器只有一个嗅探接口。然后Tap将流量集成到一个接口(必须确保不会超过SPAN端口或传感器容量)

合法监听解决方案还必须映射到虚拟机生命周期,这些都带来监测挑战。这些生命周期事件包括:

1.创建新服务器

2.转换,因为机器的IP地址会改变,所以监测必须通过vCenter与机器的ID相关联

3.重新定位,管理程序会在物理服务器间移动虚拟机

4.终止,虚拟机会被清除干净或者恢复到未知状态—尤其是当创建虚拟机用于处理峰值时

与vCenter管理紧密结合的虚拟Tap能够在整个生命周期提供无缝连续监测,而不会干扰或者中断网络。

将目标流量疏通到物理层面

对于需要扩展物理Taping到局域网/广域网/云基础设施的网络,高吞吐量的通道设备可以从虚拟监控来处理封装网络流量。这种专为原始网络流量的点到点转换优化的设备将从虚拟Tap来封装流量,并且通道设备为双向10GB线速。全球部署能力能使远程地区捕捉到目标流量,即使当低流量并没有反应到本地仪表层或者IT人员。目标流量会进行简单地封装,并发送到中央位置以便于托管服务供应商管理。

负载均衡解决超额认购问题以及利用1G工具

负载均衡是共享网络多种工具之间的数据负载的不二选择。加上更多端点的中央情报,负载平衡还可以利用现有的1G工具(相对较便宜),给服务供应商更多时间来规划未来增长。

通过深层包检测(DPI是一种先进的包过滤方法,它在开放系统互连(OSI)参考模型的应用层中起作用)的预过滤可以对任何端口的流量进行检测。通过深层包检测,用户可以识别感兴趣的数据,并将数据转发到相应的监测/记录工具。为了满足合法监听要求,用户可以捕捉和提取通信内容(ContentofCommunication,CC)和监听的相关信息(InterceptRelatedInformation,IRI)。通过深层包检测的过滤还可以分理出与询问意外收集信息主题相关的信息,并将信息调整为预定义交付格式。

总言之,VirtualTapping可以提供全面可视性、可扩展性、灵活性和可靠性以满足高容量虚拟网络环境的合法监听调整。VirtualTapping还允许先进的负载平衡和深层包检测来优化1G监测。

【编辑推荐】

  1. 虚拟化不再是网络安全黑洞
  2. 虚拟化安全问题:在哪里安置防火墙连接?
  3. 虚拟化和云计算趋势下的IT管理
  4. 如何应对层出不穷的虚拟化安全问题?
【责任编辑:于爽 TEL:(010)68476606】

点赞 0
分享:
大家都在看
猜你喜欢

读 书 +更多

Microsoft SQL Server 2005技术内幕:T-SQL程序设

SQL Server 2005微软官方权威参考手册。 是Inside Microsoft SQL Server 2005系列书中的第一本,SQL Server类的顶尖之作。 全球公认SQL S...

订阅51CTO邮刊

点击这里查看样刊

订阅51CTO邮刊
× 51CTO学院双十二活动