随着SSL/TLS协议更多地应用在web网站、邮件系统、FTP以及物联网中,企业传统的“糖葫芦串”安全架构也遇到了挑战:
■业务不可视:某些安全设备可能无法解密和检测SSL/TLS流量,成为企业的安全盲点。或者安全设备做SSL卸载后,安全设备的处理性能大幅降低,企业安全需求无法满足。
■资源易浪费:在传统安全架构下,众多安全设备糖葫芦串部署模式下存在着多个故障点,整体稳定性低,很难适应网络结构的变化。同时使得安全设备消耗了不必要的性能,带来IT资源浪费。
■故障排查烦:传统的网络数据中心往往采用大量不同的安全厂商设备,当出现故障时经常需要协调不同的安全厂家同时进行协助排查,导致排查难度上升。
■设备扩展难:在传统安全架构下,FW、IPS、WAF等安全设备一般是主备模式部署,很难实现横向扩展。如果出现设备性能不够的情况,只能通过更换更高性能的硬件来实现纵向扩展。
↑ 传统的安全架构
面对以上挑战,深信服推出全新SSLO解决方案,通过重塑安全架构帮助用户实现流量的智能编排和管理。该方案具备SSL流量可视化、安全设备池化、服务链编排等特点,基于安全设备接入方式和安全服务链的创新,实现了安全设备性能可扩、设备间可异构、资源利用率可提升以及流量的智能编排。
一、安全SSL流量可视
入站SSL流量在经过SSLO设备时,会集中卸载整体的流量:先解密,再进行流量智能编排,接着传给服务器(可再加密)。这样不仅能消除安全盲点,所有的SSL流量也都能清晰看到,同时节省安全设备SSL加、解密消耗,规避利用SSL绕过安全设备的安全风险。
二、安全设备池化
深信服SSLO提供专业负载均衡技术,能够实现安全设备池化,避免资产闲置,支持平滑扩容以及品牌异构,增加网络架构弹性。
三、支持安全设备多种方式接入
深信服SSLO可支持接入运行在不同工作模式下的安全设备。
1.安全设备二层接入
二层方式接入类似于网线模式。为有效区分不同的二层安全设备,需要每个二层安全设备均独占两个不同的链路(或者VLAN),在SSLO设备的第二条链路设置一个VIP(IP3)来进行,此VIP与链路1的IP1同网段,当IP3能够接收到IP1的流量时,我们就认为二层的安全设备处于正常工作的状态,反之则是设备不正常。
逻辑图
2.安全设备三层接入
三层设备接入本身提供了IP地址。对SSLO设备来说,流量发往安全设备的出接口和从安全设备收到流量的入接口此时并不需要完全独立,有单臂方式,也有双臂模式。
单臂模式:L3 安全设备上只需要配置一条路由,将请求方向和应答方向的数据包均路由到 IP1,此种方式配置上更为简单。
双臂模式:L3 安全设备需要配置多条路由,将请求方向数据包路由到 IP2,同时将应答方向的数据包路由到 IP1。
3.TAP镜像设备接入
镜像设备本身只接收数据包,默认不需要配置监视器。SSLO 设备需要给镜像设备分配一条链路(link1),如果镜像设备上配置有 IP,且会响应 SSLO 的 ARP 请求,那么 SSLO 上可以直接使用镜像设备的 IP 即可。如果镜 像设备上不响应 ARP 请求,那么 SSLO上需要为镜像设备分配一个IP,同时为这个IP绑 定镜像设备的 MAC 地址。
四、会话分离技术
深信服SSLO会话分离技术为流量智能编排提供坚实的技术保障。
在Linux系统中,一般通过连接跟踪的机制来记录会话信息,当五元组信息相同时会命中相同会话,在流量经SSLO编排后从安全设备回流的流量一般不会改变五元组信息,进而会无法将流量编排到不同的安全设备中去。
为了能够区分不同的会话,深信服进行了创新设计:
(1)保证各个安全设备使用的是不同的链路,进而可以根据流量入接口来区分不同的安全设备。
(2)将入接口链路信息记录到会话信息中,流量从不同的入接口进入则可命中不同的会话,实现会话隔离。
(3)在会话隔离的基础上,将流量经过的安全设备按顺序串联起来,一方面用来确定流量流经安全设备的顺序,另一方面用来在安全设备异常时能够根据此信息实现安全设备bypass,保证流量的连续性。
五、安全设备健康检查
深信服SSLO能够提供多种健康检查方式,以保证将流量转发到正常工作的安全设备。比较常见的健康检查方式是通过icmp协议来进行网络探测,除了icmp方式,也可以通过发送四层/七层数据进行检查。
六、安全服务链调度
深信服SSLO通过对安全服务链调度实现流量智能编排,安全服务链调度是非常灵活的,可以满足各种业务场景需求,包括虚拟服务引用安全服务链、前置策略引用安全服务链、ipro引用安全服务链等。
七、双模安全部署
针对安全设备运维和业务特点,制定灵活的部署策略,实现双模安全部署。基于某个业务,采用灰度引流方式,指定不同的服务链。如稳态链和敏态链,稳态链注重的是业务稳定和可靠,而敏态链注重的是业务灰度上线、敏态调整。
八、故障bypass(逃生)机制
为保障业务正常运行,即使在极端情况下,某个安全资源池里面的安全设备全部故障,SSLO设备依然可以通过流量灵活调度的能力,自动执行Bypass机制,主动绕过故障的安全设备组,避免因安全设备的故障问题影响整个业务。
以上就是关于深信服SSLO解决方案的介绍,关注“深信服科技”公众号获取更多技术干货。