隨著SSL/TLS協議更多地應用在web網站、郵件系統、FTP以及物聯網中,企業傳統的“糖葫蘆串”安全架構也遇到了挑戰:
業務不可視:某些安全設備可能無法解密和檢測SSL/TLS流量,成為企業的安全盲點。或者安全設備做SSL卸載后,安全設備的處理性能大幅降低,企業安全需求無法滿足。
資源易浪費:在傳統安全架構下,眾多安全設備糖葫蘆串部署模式下存在著多個故障點,整體穩定性低,很難適應網絡結構的變化。同時使得安全設備消耗了不必要的性能,帶來IT資源浪費。
故障排查煩:傳統的網絡數據中心往往采用大量不同的安全廠商設備,當出現故障時經常需要協調不同的安全廠家同時進行協助排查,導致排查難度上升。
設備擴展難:在傳統安全架構下,FW、IPS、WAF等安全設備一般是主備模式部署,很難實現橫向擴展。如果出現設備性能不夠的情況,只能通過更換更高性能的硬件來實現縱向擴展。
↑ 傳統的安全架構
面對以上挑戰,深信服推出全新SSLO解決方案,通過重塑安全架構幫助用戶實現流量的智能編排和管理。該方案具備SSL流量可視化、安全設備池化、服務鏈編排等特點,基于安全設備接入方式和安全服務鏈的創新,實現了安全設備性能可擴、設備間可異構、資源利用率可提升以及流量的智能編排。
一、安全SSL流量可視
入站SSL流量在經過SSLO設備時,會集中卸載整體的流量:先解密,再進行流量智能編排,接著傳給服務器(可再加密)。這樣不僅能消除安全盲點,所有的SSL流量也都能清晰看到,同時節省安全設備SSL加、解密消耗,規避利用SSL繞過安全設備的安全風險。
二、安全設備池化
深信服SSLO提供專業負載均衡技術,能夠實現安全設備池化,避免資產閑置,支持平滑擴容以及品牌異構,增加網絡架構彈性。
三、支持安全設備多種方式接入
深信服SSLO可支持接入運行在不同工作模式下的安全設備。
1.安全設備二層接入
二層方式接入類似于網線模式。為有效區分不同的二層安全設備,需要每個二層安全設備均獨占兩個不同的鏈路(或者VLAN),在SSLO設備的第二條鏈路設置一個VIP(IP3)來進行,此VIP與鏈路1的IP1同網段,當IP3能夠接收到IP1的流量時,我們就認為二層的安全設備處于正常工作的狀態,反之則是設備不正常。
↑ 邏輯圖
2.安全設備三層接入
三層設備接入本身提供了IP地址。對SSLO設備來說,流量發往安全設備的出接口和從安全設備收到流量的入接口此時并不需要完全獨立,有單臂方式,也有雙臂模式。
單臂模式:L3 安全設備上只需要配置一條路由,將請求方向和應答方向的數據包均路由到 IP1,此種方式配置上更為簡單。
雙臂模式:L3 安全設備需要配置多條路由,將請求方向數據包路由到 IP2,同時將應答方向的數據包路由到 IP1。
3.TAP鏡像設備接入
鏡像設備本身只接收數據包,默認不需要配置監視器。SSLO 設備需要給鏡像設備分配一條鏈路(link1),如果鏡像設備上配置有 IP,且會響應 SSLO 的 ARP 請求,那么 SSLO 上可以直接使用鏡像設備的 IP 即可。如果鏡 像設備上不響應 ARP 請求,那么 SSLO上需要為鏡像設備分配一個IP,同時為這個IP綁 定鏡像設備的 MAC 地址。
四、會話分離技術
深信服SSLO會話分離技術為流量智能編排提供堅實的技術保障。
在Linux系統中,一般通過連接跟蹤的機制來記錄會話信息,當五元組信息相同時會命中相同會話,在流量經SSLO編排后從安全設備回流的流量一般不會改變五元組信息,進而會無法將流量編排到不同的安全設備中去。
為了能夠區分不同的會話,深信服進行了創新設計:
(1)保證各個安全設備使用的是不同的鏈路,進而可以根據流量入接口來區分不同的安全設備。
(2)將入接口鏈路信息記錄到會話信息中,流量從不同的入接口進入則可命中不同的會話,實現會話隔離。
(3)在會話隔離的基礎上,將流量經過的安全設備按順序串聯起來,一方面用來確定流量流經安全設備的順序,另一方面用來在安全設備異常時能夠根據此信息實現安全設備bypass,保證流量的連續性。
五、安全設備健康檢查
深信服SSLO能夠提供多種健康檢查方式,以保證將流量轉發到正常工作的安全設備。比較常見的健康檢查方式是通過icmp協議來進行網絡探測,除了icmp方式,也可以通過發送四層/七層數據進行檢查。
六、安全服務鏈調度
深信服SSLO通過對安全服務鏈調度實現流量智能編排,安全服務鏈調度是非常靈活的,可以滿足各種業務場景需求,包括虛擬服務引用安全服務鏈、前置策略引用安全服務鏈、ipro引用安全服務鏈等。
七、雙模安全部署
針對安全設備運維和業務特點,制定靈活的部署策略,實現雙模安全部署。基于某個業務,采用灰度引流方式,指定不同的服務鏈。如穩態鏈和敏態鏈,穩態鏈注重的是業務穩定和可靠,而敏態鏈注重的是業務灰度上線、敏態調整。
八、故障bypass(逃生)機制
為保障業務正常運行,即使在極端情況下,某個安全資源池里面的安全設備全部故障,SSLO設備依然可以通過流量靈活調度的能力,自動執行Bypass機制,主動繞過故障的安全設備組,避免因安全設備的故障問題影響整個業務。
以上就是關于深信服SSLO解決方案的介紹,關注“深信服科技”公眾號,可以獲取更多技術干貨。
