共计 2121 个字符,预计需要花费 6 分钟才能阅读完成。
随着 SSL/TLS 协定更多地利用在 web 网站、邮件系统、FTP 以及物联网中,企业传统的“糖葫芦串”平安架构也遇到了挑战:
■业务不可视:某些安全设备可能无奈解密和检测 SSL/TLS 流量,成为企业的平安盲点。或者安全设备做 SSL 卸载后,安全设备的解决性能大幅升高,企业平安需要无奈满足。
■资源易节约:在传统平安架构下,泛滥安全设备糖葫芦串部署模式下存在着多个故障点,整体稳定性低,很难适应网络结构的变动。同时使得安全设备耗费了不必要的性能,带来 IT 资源节约。
■故障排查烦:传统的网络数据中心往往采纳大量不同的平安厂商设施,当呈现故障时常常须要协调不同的平安厂家同时进行帮助排查,导致排查难度回升。
■设施扩大难:在传统平安架构下,FW、IPS、WAF 等安全设备个别是主备模式部署,很难实现横向扩大。如果呈现设施性能不够的状况,只能通过更换更高性能的硬件来实现纵向扩大。
↑ 传统的平安架构
面对以上挑战,深服气推出全新 SSLO 解决方案,通过重塑平安架构帮忙用户实现流量的智能编排和治理。该计划具备 SSL 流量可视化、安全设备池化、服务链编排等特点,基于安全设备接入形式和平安服务链的翻新,实现了安全设备性能可扩、设施间可异构、资源利用率可晋升以及流量的智能编排。
一、平安 SSL 流量可视
入站 SSL 流量在通过 SSLO 设施时,会集中卸载整体的流量:先解密,再进行流量智能编排,接着传给服务器(可再加密)。这样不仅能打消平安盲点,所有的 SSL 流量也都能清晰看到,同时节俭安全设备 SSL 加、解密耗费,躲避利用 SSL 绕过安全设备的平安危险。
二、安全设备池化
深服气 SSLO 提供业余负载平衡技术,可能实现安全设备池化,防止资产闲置,反对平滑扩容以及品牌异构,减少网络架构弹性。
三、反对安全设备多种形式接入
深服气 SSLO 可反对接入运行在不同工作模式下的安全设备。
1. 安全设备二层接入
二层形式接入相似于网线模式。为无效辨别不同的二层安全设备,须要每个二层安全设备均独占两个不同的链路 (或者 VLAN),在 SSLO 设施的第二条链路设置一个 VIP(IP3)来进行,此 VIP 与链路 1 的 IP1 同网段,当 IP3 可能接管到 IP1 的流量时,咱们就认为二层的安全设备处于失常工作的状态,反之则是设施不失常。
逻辑图
2. 安全设备三层接入
三层设施接入自身提供了 IP 地址。对 SSLO 设施来说,流量发往安全设备的出接口和从安全设备收到流量的入接口此时并不需要齐全独立,有单臂形式,也有双臂模式。
单臂模式:L3 安全设备上只须要配置一条路由,将申请方向和应答方向的数据包均路由到 IP1,此种形式配置上更为简略。
双臂模式:L3 安全设备须要配置多条路由,将申请方向数据包路由到 IP2,同时将应答方向的数据包路由到 IP1。
3.TAP 镜像设施接入
镜像设施自身只接管数据包,默认不须要配置监视器。SSLO 设施须要给镜像设施调配一条链路 (link1),如果镜像设施上配置有 IP,且会响应 SSLO 的 ARP 申请,那么 SSLO 上能够间接应用镜像设施的 IP 即可。如果镜 像设施上不响应 ARP 申请,那么 SSLO 上须要为镜像设施调配一个 IP,同时为这个 IP 绑 定镜像设施的 MAC 地址。
四、会话拆散技术
深服气 SSLO 会话拆散技术为流量智能编排提供松软的技术保障。
在 Linux 零碎中,个别通过连贯跟踪的机制来记录会话信息,当五元组信息雷同时会命中雷同会话,在流量经 SSLO 编排后从安全设备回流的流量个别不会扭转五元组信息,进而会无奈将流量编排到不同的安全设备中去。
为了可能辨别不同的会话,深服气进行了翻新设计:
(1)保障各个安全设备应用的是不同的链路,进而能够依据流量入接口来辨别不同的安全设备。
(2)将入接口链路信息记录到会话信息中,流量从不同的入接口进入则可命中不同的会话,实现会话隔离。
(3)在会话隔离的根底上,将流量通过的安全设备按程序串联起来,一方面用来确定流量流经安全设备的程序,另一方面用来在安全设备异样时可能依据此信息实现安全设备 bypass,保障流量的连续性。
五、安全设备健康检查
深服气 SSLO 可能提供多种健康检查形式,以保障将流量转发到失常工作的安全设备。比拟常见的健康检查形式是通过 icmp 协定来进行网络探测,除了 icmp 形式,也能够通过发送四层 / 七层数据进行查看。
六、平安服务链调度
深服气 SSLO 通过对平安服务链调度实现流量智能编排,平安服务链调度是非常灵活的,能够满足各种业务场景需要,包含虚构服务援用平安服务链、前置策略援用平安服务链、ipro 援用平安服务链等。
七、双模平安部署
针对安全设备运维和业务特点,制订灵便的部署策略,实现双模平安部署。基于某个业务,采纳灰度引流形式,指定不同的服务链。如稳态链和敏态链,稳态链重视的是业务稳固和牢靠,而敏态链重视的是业务灰度上线、敏态调整。
八、故障 bypass(逃生)机制
为保障业务失常运行,即便在极其状况下,某个平安资源池外面的安全设备全副故障,SSLO 设施仍然能够通过流量灵便调度的能力,主动执行 Bypass 机制,被动绕过故障的平安设备组,防止因安全设备的故障问题影响整个业务。
以上就是对于深服气 SSLO 解决方案的介绍,关注“深服气科技”公众号获取更多技术干货。