隨著SSL/TLS協(xié)議更多地應(yīng)用在web網(wǎng)站、郵件系統(tǒng)、FTP以及物聯(lián)網(wǎng)中,企業(yè)傳統(tǒng)的“糖葫蘆串”安全架構(gòu)也遇到了挑戰(zhàn):
業(yè)務(wù)不可視:某些安全設(shè)備可能無(wú)法解密和檢測(cè)SSL/TLS流量,成為企業(yè)的安全盲點(diǎn)?;蛘甙踩O(shè)備做SSL卸載后,安全設(shè)備的處理性能大幅降低,企業(yè)安全需求無(wú)法滿(mǎn)足。
資源易浪費(fèi):在傳統(tǒng)安全架構(gòu)下,眾多安全設(shè)備糖葫蘆串部署模式下存在著多個(gè)故障點(diǎn),整體穩(wěn)定性低,很難適應(yīng)網(wǎng)絡(luò)結(jié)構(gòu)的變化。同時(shí)使得安全設(shè)備消耗了不必要的性能,帶來(lái)IT資源浪費(fèi)。
故障排查煩:傳統(tǒng)的網(wǎng)絡(luò)數(shù)據(jù)中心往往采用大量不同的安全廠商設(shè)備,當(dāng)出現(xiàn)故障時(shí)經(jīng)常需要協(xié)調(diào)不同的安全廠家同時(shí)進(jìn)行協(xié)助排查,導(dǎo)致排查難度上升。
設(shè)備擴(kuò)展難:在傳統(tǒng)安全架構(gòu)下,F(xiàn)W、IPS、WAF等安全設(shè)備一般是主備模式部署,很難實(shí)現(xiàn)橫向擴(kuò)展。如果出現(xiàn)設(shè)備性能不夠的情況,只能通過(guò)更換更高性能的硬件來(lái)實(shí)現(xiàn)縱向擴(kuò)展。
↑ 傳統(tǒng)的安全架構(gòu)
面對(duì)以上挑戰(zhàn),深信服推出全新SSLO解決方案,通過(guò)重塑安全架構(gòu)幫助用戶(hù)實(shí)現(xiàn)流量的智能編排和管理。該方案具備SSL流量可視化、安全設(shè)備池化、服務(wù)鏈編排等特點(diǎn),基于安全設(shè)備接入方式和安全服務(wù)鏈的創(chuàng)新,實(shí)現(xiàn)了安全設(shè)備性能可擴(kuò)、設(shè)備間可異構(gòu)、資源利用率可提升以及流量的智能編排。
一、安全SSL流量可視
入站SSL流量在經(jīng)過(guò)SSLO設(shè)備時(shí),會(huì)集中卸載整體的流量:先解密,再進(jìn)行流量智能編排,接著傳給服務(wù)器(可再加密)。這樣不僅能消除安全盲點(diǎn),所有的SSL流量也都能清晰看到,同時(shí)節(jié)省安全設(shè)備SSL加、解密消耗,規(guī)避利用SSL繞過(guò)安全設(shè)備的安全風(fēng)險(xiǎn)。
二、安全設(shè)備池化
深信服SSLO提供專(zhuān)業(yè)負(fù)載均衡技術(shù),能夠?qū)崿F(xiàn)安全設(shè)備池化,避免資產(chǎn)閑置,支持平滑擴(kuò)容以及品牌異構(gòu),增加網(wǎng)絡(luò)架構(gòu)彈性。
三、支持安全設(shè)備多種方式接入
深信服SSLO可支持接入運(yùn)行在不同工作模式下的安全設(shè)備。
1.安全設(shè)備二層接入
二層方式接入類(lèi)似于網(wǎng)線(xiàn)模式。為有效區(qū)分不同的二層安全設(shè)備,需要每個(gè)二層安全設(shè)備均獨(dú)占兩個(gè)不同的鏈路(或者VLAN),在SSLO設(shè)備的第二條鏈路設(shè)置一個(gè)VIP(IP3)來(lái)進(jìn)行,此VIP與鏈路1的IP1同網(wǎng)段,當(dāng)IP3能夠接收到IP1的流量時(shí),我們就認(rèn)為二層的安全設(shè)備處于正常工作的狀態(tài),反之則是設(shè)備不正常。
↑ 邏輯圖
2.安全設(shè)備三層接入
三層設(shè)備接入本身提供了IP地址。對(duì)SSLO設(shè)備來(lái)說(shuō),流量發(fā)往安全設(shè)備的出接口和從安全設(shè)備收到流量的入接口此時(shí)并不需要完全獨(dú)立,有單臂方式,也有雙臂模式。
單臂模式:L3 安全設(shè)備上只需要配置一條路由,將請(qǐng)求方向和應(yīng)答方向的數(shù)據(jù)包均路由到 IP1,此種方式配置上更為簡(jiǎn)單。
雙臂模式:L3 安全設(shè)備需要配置多條路由,將請(qǐng)求方向數(shù)據(jù)包路由到 IP2,同時(shí)將應(yīng)答方向的數(shù)據(jù)包路由到 IP1。
3.TAP鏡像設(shè)備接入
鏡像設(shè)備本身只接收數(shù)據(jù)包,默認(rèn)不需要配置監(jiān)視器。SSLO 設(shè)備需要給鏡像設(shè)備分配一條鏈路(link1),如果鏡像設(shè)備上配置有 IP,且會(huì)響應(yīng) SSLO 的 ARP 請(qǐng)求,那么 SSLO 上可以直接使用鏡像設(shè)備的 IP 即可。如果鏡 像設(shè)備上不響應(yīng) ARP 請(qǐng)求,那么 SSLO上需要為鏡像設(shè)備分配一個(gè)IP,同時(shí)為這個(gè)IP綁 定鏡像設(shè)備的 MAC 地址。
四、會(huì)話(huà)分離技術(shù)
深信服SSLO會(huì)話(huà)分離技術(shù)為流量智能編排提供堅(jiān)實(shí)的技術(shù)保障。
在Linux系統(tǒng)中,一般通過(guò)連接跟蹤的機(jī)制來(lái)記錄會(huì)話(huà)信息,當(dāng)五元組信息相同時(shí)會(huì)命中相同會(huì)話(huà),在流量經(jīng)SSLO編排后從安全設(shè)備回流的流量一般不會(huì)改變五元組信息,進(jìn)而會(huì)無(wú)法將流量編排到不同的安全設(shè)備中去。
為了能夠區(qū)分不同的會(huì)話(huà),深信服進(jìn)行了創(chuàng)新設(shè)計(jì):
(1)保證各個(gè)安全設(shè)備使用的是不同的鏈路,進(jìn)而可以根據(jù)流量入接口來(lái)區(qū)分不同的安全設(shè)備。
(2)將入接口鏈路信息記錄到會(huì)話(huà)信息中,流量從不同的入接口進(jìn)入則可命中不同的會(huì)話(huà),實(shí)現(xiàn)會(huì)話(huà)隔離。
(3)在會(huì)話(huà)隔離的基礎(chǔ)上,將流量經(jīng)過(guò)的安全設(shè)備按順序串聯(lián)起來(lái),一方面用來(lái)確定流量流經(jīng)安全設(shè)備的順序,另一方面用來(lái)在安全設(shè)備異常時(shí)能夠根據(jù)此信息實(shí)現(xiàn)安全設(shè)備bypass,保證流量的連續(xù)性。
五、安全設(shè)備健康檢查
深信服SSLO能夠提供多種健康檢查方式,以保證將流量轉(zhuǎn)發(fā)到正常工作的安全設(shè)備。比較常見(jiàn)的健康檢查方式是通過(guò)icmp協(xié)議來(lái)進(jìn)行網(wǎng)絡(luò)探測(cè),除了icmp方式,也可以通過(guò)發(fā)送四層/七層數(shù)據(jù)進(jìn)行檢查。
六、安全服務(wù)鏈調(diào)度
深信服SSLO通過(guò)對(duì)安全服務(wù)鏈調(diào)度實(shí)現(xiàn)流量智能編排,安全服務(wù)鏈調(diào)度是非常靈活的,可以滿(mǎn)足各種業(yè)務(wù)場(chǎng)景需求,包括虛擬服務(wù)引用安全服務(wù)鏈、前置策略引用安全服務(wù)鏈、ipro引用安全服務(wù)鏈等。
七、雙模安全部署
針對(duì)安全設(shè)備運(yùn)維和業(yè)務(wù)特點(diǎn),制定靈活的部署策略,實(shí)現(xiàn)雙模安全部署?;谀硞€(gè)業(yè)務(wù),采用灰度引流方式,指定不同的服務(wù)鏈。如穩(wěn)態(tài)鏈和敏態(tài)鏈,穩(wěn)態(tài)鏈注重的是業(yè)務(wù)穩(wěn)定和可靠,而敏態(tài)鏈注重的是業(yè)務(wù)灰度上線(xiàn)、敏態(tài)調(diào)整。
八、故障bypass(逃生)機(jī)制
為保障業(yè)務(wù)正常運(yùn)行,即使在極端情況下,某個(gè)安全資源池里面的安全設(shè)備全部故障,SSLO設(shè)備依然可以通過(guò)流量靈活調(diào)度的能力,自動(dòng)執(zhí)行Bypass機(jī)制,主動(dòng)繞過(guò)故障的安全設(shè)備組,避免因安全設(shè)備的故障問(wèn)題影響整個(gè)業(yè)務(wù)。
以上就是關(guān)于深信服SSLO解決方案的介紹,關(guān)注“深信服科技”公眾號(hào),可以獲取更多技術(shù)干貨。
(免責(zé)聲明:本網(wǎng)站內(nèi)容主要來(lái)自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿,凡在本網(wǎng)站出現(xiàn)的信息,均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性,但不保證有關(guān)資料的準(zhǔn)確性及可靠性,讀者在使用前請(qǐng)進(jìn)一步核實(shí),并對(duì)任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對(duì)有關(guān)資料所引致的錯(cuò)誤、不確或遺漏,概不負(fù)任何法律責(zé)任。
任何單位或個(gè)人認(rèn)為本網(wǎng)站中的網(wǎng)頁(yè)或鏈接內(nèi)容可能涉嫌侵犯其知識(shí)產(chǎn)權(quán)或存在不實(shí)內(nèi)容時(shí),應(yīng)及時(shí)向本網(wǎng)站提出書(shū)面權(quán)利通知或不實(shí)情況說(shuō)明,并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實(shí)情況證明。本網(wǎng)站在收到上述法律文件后,將會(huì)依法盡快聯(lián)系相關(guān)文章源頭核實(shí),溝通刪除相關(guān)內(nèi)容或斷開(kāi)相關(guān)鏈接。 )