全球要聞:單點(diǎn)故障全網(wǎng)癱瘓?且看網(wǎng)絡(luò)流量“指揮大師”來如何破解

發(fā)布時間:2022-09-14 17:24:38  |  來源:通信世界全媒體  

(CWW)通常情況下,不同的網(wǎng)絡(luò)安全設(shè)備之間,有著不同的分工。比如防火墻按照最小化白名單原則,通過安全策略,僅對外開放有限服務(wù),減小攻擊面;比如Web應(yīng)用防火墻(WAF)可以阻止針對Web應(yīng)用程序的惡意命令執(zhí)行;再比如入侵防護(hù)系統(tǒng)(IPS)可以阻止部分網(wǎng)絡(luò)流量中的惡意攻擊代碼;所有這些設(shè)備或多或少組合在一起,成為了企業(yè)網(wǎng)絡(luò)邊界的防守大閘。鑒于網(wǎng)絡(luò)攻擊變得越來越復(fù)雜,安全設(shè)備也隨之越來越多。

安全設(shè)備與“糖葫蘆串”


(資料圖片僅供參考)

不過,新的問題很快出現(xiàn)了。網(wǎng)絡(luò)安全目的本來是要保證組織不會因為網(wǎng)絡(luò)攻擊而導(dǎo)致數(shù)據(jù)丟失或者業(yè)務(wù)中斷,但過多的安全設(shè)備有時候會適得其反。至于原因嘛,還要從大家小時候都吃過的甜品糖葫蘆串說起。眾所周知,糖葫蘆是用簽子將一個個山楂球串起來制作而成的。吃的時候,一般都是從上到下按順序一個個“消滅掉”。

為了吸引消費(fèi)者,商家有時候還會將山楂球換成不同種類的水果,比如葡萄、桔子等等,但如果不喜歡某種口味想要跳過它吃下一個,并不是一件非常容易的事情,上面的冰糖會粘得滿嘴都是,一個不小心還會將相鄰的山楂球弄掉在地上。安全防護(hù)架構(gòu)也大抵如此,就像這樣。

安全設(shè)備就像糖葫蘆一樣串成一串,等著檢查訪問服務(wù)器的網(wǎng)絡(luò)流量是不是有問題。想要跳過誰都不成。盡管不同的安全設(shè)備在部分功能方面有所重合,但沒有任何一款產(chǎn)品能夠包打天下,各自專注在最擅長的領(lǐng)域,是最高效的做法。但在這樣一個糖葫蘆串式的架構(gòu)中,各個設(shè)備相互耦合,就像一個山楂球粘著另外一個山楂球,彼此影響。

“所有設(shè)備穿糖葫蘆式的接進(jìn)來,所有流量就會流經(jīng)所有安全設(shè)備?!逼姘残偶瘓F(tuán)副總裁、首席架構(gòu)師吳亞東在9月13日的奇安信流量解密編排器發(fā)布會上說,這樣一來就會出現(xiàn)三個問題。

第一,訪問服務(wù)器的流量都要被一條鏈路上的所有安全設(shè)備檢查。

個人電腦會因為裝了各類安全軟件導(dǎo)致運(yùn)行緩慢,其主要原因在于這些軟件在保護(hù)電腦的同時,消耗了過多的內(nèi)存、CPU等硬件資源。網(wǎng)絡(luò)安全設(shè)備也是一樣。事實上不同類型的專業(yè)設(shè)備檢測的流量并不相同,并不需要檢查所有流量,即使檢測也檢測不出個子丑寅卯。而且,過度檢測只會導(dǎo)致非必要的性能損耗,從而影響業(yè)務(wù)系統(tǒng)的運(yùn)行效率。

第二,一旦單一設(shè)備出現(xiàn)故障,會導(dǎo)致整個鏈路不通。

學(xué)過物理的都知道,在一個串聯(lián)電路中,任何一個元器件出現(xiàn)斷路,整條電路就都斷了,這就相當(dāng)于開關(guān)沒有閉合。網(wǎng)絡(luò)也是一樣,任意一個網(wǎng)絡(luò)節(jié)點(diǎn)發(fā)生擁塞或故障,都可能導(dǎo)致業(yè)務(wù)訪問延遲大或業(yè)務(wù)中斷。而且,一旦故障發(fā)生,想要迅速找出故障點(diǎn)。逐個設(shè)備排查,費(fèi)時費(fèi)力,想要第一時間恢復(fù)純靠運(yùn)氣。另外,對安全設(shè)備進(jìn)行升級維護(hù),都要提前通知預(yù)留割接窗口,且通常都在晚上或周末,非常耽誤時間。

第三,擴(kuò)展性差,難以對安全設(shè)備進(jìn)行橫向彈性擴(kuò)容。

隨著企業(yè)業(yè)務(wù)量的擴(kuò)張,舊有的安全設(shè)備一定會遇到性能瓶頸的難題。比如一臺防火墻吞吐量為1Gbps,但業(yè)務(wù)訪問流量如果增長到2Gbps,就會面臨著擴(kuò)容的問題。常見的擴(kuò)容方式包括橫向擴(kuò)容和縱向擴(kuò)容兩種。舉個例子。一所高校想要擴(kuò)招,現(xiàn)有的宿舍樓肯定是不夠住了,必須得擴(kuò)建。所謂縱向擴(kuò)容就是指在原有宿舍樓基礎(chǔ)上,縱向往上加蓋幾層,得到一棟能容納更多學(xué)生的宿舍樓;橫向擴(kuò)容是指重新選址,多蓋幾棟宿舍樓,大有“橫向發(fā)展”的意思。但網(wǎng)絡(luò)設(shè)備不是宿舍樓,不可能往上加蓋幾層,想要縱向擴(kuò)容,只能換一個更好的。

在糖葫蘆串的網(wǎng)絡(luò)安全部署架構(gòu)下,向糖葫蘆串中不斷串接設(shè)備這種橫向擴(kuò)容方式并不適用,和木桶效應(yīng)類似,流量處理能力取決于最小的那個設(shè)備,接再多的設(shè)備也無濟(jì)于事。最窄的地方“堵上了”,整條路也就“堵上了”。因此最理想的橫向擴(kuò)容形式為HA雙主(即兩臺機(jī)器同時獨(dú)立運(yùn)行,互不影響,流量處理能力約等于兩臺機(jī)器之和),但流量一旦超過其處理能力,還是得縱向擴(kuò)容,將原有設(shè)備換成性能更高的型號。這樣一來,舊的設(shè)備就失去了用武之地,原有投資無法得保護(hù)。而且,更換設(shè)備會導(dǎo)致斷網(wǎng),斷網(wǎng)也意味著業(yè)務(wù)中斷,這是所有組織都難以接受的,也不是網(wǎng)絡(luò)安全防護(hù)所想看到的結(jié)果。

流量調(diào)度室

其實不難看出,所有問題的癥結(jié)都在于這個“糖葫蘆串”上——這是流量到達(dá)訪問目標(biāo)的唯一路徑,不管流量要在哪個設(shè)備上接受檢查,都得一個個過。想要解決這個問題,就得從根上解決“穿糖葫蘆”式的安全設(shè)備部署方法,讓特定流量只經(jīng)過特定設(shè)備。

這和處理城市內(nèi)澇的思路是一樣的,積水需要通過遍布全城的下水道網(wǎng),引流到該去的地方,而不是僅僅依靠一個大的河渠。不過,網(wǎng)絡(luò)流量不像積水一樣,會在重力的引導(dǎo)下自動由高處流向低處。所以,奇安信在9月13日發(fā)布的流量解密編排器上,引入了智能化服務(wù)鏈編排技術(shù)。聽起來有點(diǎn)晦澀,但實際上就是給網(wǎng)絡(luò)流量造了一個“調(diào)度室”:讓從哪條路走,就從哪條路走,而不是都擠在主干道上。

服務(wù)鏈編排做的第一件事情,就是基于細(xì)粒度智能引流策略。包括對主干路經(jīng)過的流量進(jìn)行分類,然后將流量引流到由安全網(wǎng)元組構(gòu)成的服務(wù)鏈上,比如需要進(jìn)行漏洞檢測的轉(zhuǎn)發(fā)至IPS;需要進(jìn)行Web防護(hù)的分流至WAF進(jìn)行檢測;需要旁路檢測的,通過串聯(lián)鏈發(fā)送給相關(guān)設(shè)備,比如探針、IDS等。

這樣一來,過去“穿糖葫蘆”式的架構(gòu)就不復(fù)存在了,取而代之的是一種“旁掛式”的架構(gòu),簡單理解就是下圖這樣子。

這樣做最大的好處就在于不同的安全設(shè)備再也不用檢測所有流量,而是根據(jù)業(yè)務(wù)安全需要,通過個性化的引流策略讓安全設(shè)備分工合作各司其職,從而大大降低了安全設(shè)備無效的工作負(fù)載,提升了整個網(wǎng)絡(luò)的運(yùn)行效率。

第二件事情就是實時探測各個安全設(shè)備的運(yùn)行狀態(tài)。

這么做的好處有兩個:第一個在探測到發(fā)生故障的安全設(shè)備時,可以啟動Bypass機(jī)制跳過故障設(shè)備,將原本需要經(jīng)過該設(shè)備的流量,自動轉(zhuǎn)發(fā)至相同網(wǎng)元組內(nèi)的其它同類型設(shè)備,保障業(yè)務(wù)持續(xù)運(yùn)行;

第二個是對安全設(shè)備的運(yùn)行狀態(tài)進(jìn)行實時可視化展現(xiàn),一旦設(shè)備運(yùn)行出現(xiàn)問題,工程師可第一時間定位到故障點(diǎn)并修復(fù),避免排障“全靠運(yùn)氣”的尷尬局面。

第三件事情是安全設(shè)備的資源池化。

與傳統(tǒng)架構(gòu)最大的不同是,資源池能夠?qū)崿F(xiàn)安全工具和網(wǎng)絡(luò)架構(gòu)的解耦,按需個性化智能引流,以及橫向彈性伸縮,安全資源利用率最大化。如前文所述,穿糖葫蘆式的架構(gòu)是很難新增設(shè)備的,想要擴(kuò)容只能將原有的設(shè)備換成一個更高端的,導(dǎo)致客戶TCO(總體擁有成本)持續(xù)增加。但服務(wù)鏈編排技術(shù)可以將舊的和新增的安全設(shè)備放入相同資源池,按照流量負(fù)載算法將流量牽引至不同設(shè)備處理,不但讓原有的安全設(shè)備仍然可以持續(xù)發(fā)揮作用,更重要的是帶來了動態(tài)橫向擴(kuò)容的便利。

想要擴(kuò)容,新增設(shè)備就完事了,流量解密編排器會把該過去的流量調(diào)度過去。當(dāng)然,這三件事情對第三方的安全設(shè)備同樣有效,并不會因為采購了不同廠商的不同型號設(shè)備,出現(xiàn)服務(wù)鏈編排效果大打折扣的現(xiàn)象。

一次解密,多次檢測

有一點(diǎn)需要注意的是,服務(wù)鏈編排技術(shù)在如今加密流量時代顯得尤為重要。眾所周知,流量加密的本意是為了防止數(shù)據(jù)在傳輸過程中被監(jiān)聽或者被劫持,但這同樣給了攻擊者隱藏自己的機(jī)會。互聯(lián)網(wǎng)超過90%的流量是加密流量,企業(yè)內(nèi)部超過80%的流量是加密流量,95%的企業(yè)聲稱遭受過加密流量攻擊……

這幾個數(shù)據(jù)非常直觀地展示了針對加密流量檢測的緊迫性。

通常情況下,加密流量檢測最直接也最有效的方法,就是將密文流量解密成明文。不過,解密過程所消耗的CPU資源是非常驚人的,可以達(dá)到明文流量檢測的100倍之多。用一句話來形容,解密是CPU密集型操作。如此巨大的消耗,如果再讓所有安全設(shè)備都來一遍,導(dǎo)致CPU資源無故浪費(fèi)不說,還勢必給系統(tǒng)網(wǎng)絡(luò)帶來極大的延遲。如果用簡單的算式計算,“糖葫蘆串”上串了多少個設(shè)備,就還會在100倍算力消耗的基礎(chǔ)上,再增加多少倍的算力消耗。這對任何組織來說,都是一件非常不劃算的事情。

而且,如此多的加密流量,經(jīng)常大大超出安全設(shè)備的解密能力上限。為了保障業(yè)務(wù)連續(xù)性,網(wǎng)絡(luò)安全只能有所妥協(xié),使得加密威脅成為企業(yè)當(dāng)前面臨的重大問題之一。

如果使用奇安信流量解密編排器則大有不同。流量解密編排器搭載的高性能解密能力,能夠在完成流量解密之后,依托服務(wù)鏈編排技術(shù)將明文流量按需分發(fā)至既定的安全設(shè)備中,實現(xiàn)一次解密多次檢測,從而避免了CPU資源的浪費(fèi)。

從這個角度上看,服務(wù)鏈編排技術(shù)稱得上是一位頂尖的網(wǎng)絡(luò)流量“指揮大師”。


關(guān)鍵詞: 網(wǎng)絡(luò)流量 服務(wù)鏈編排技術(shù) 網(wǎng)絡(luò)安全

 

網(wǎng)站介紹  |  版權(quán)說明  |  聯(lián)系我們  |  網(wǎng)站地圖 

星際派備案號:京ICP備2022016840號-16 營業(yè)執(zhí)照公示信息版權(quán)所有 郵箱聯(lián)系:920 891 263@qq.com