(CWW)通常情況下,不同的網絡安全設備之間,有著不同的分工。比如防火墻按照最小化白名單原則,通過安全策略,僅對外開放有限服務,減小攻擊面;比如Web應用防火墻(WAF)可以阻止針對Web應用程序的惡意命令執行;再比如入侵防護系統(IPS)可以阻止部分網絡流量中的惡意攻擊代碼;所有這些設備或多或少組合在一起,成為了企業網絡邊界的防守大閘。鑒于網絡攻擊變得越來越復雜,安全設備也隨之越來越多。
(資料圖)
安全設備與“糖葫蘆串”
不過,新的問題很快出現了。網絡安全目的本來是要保證組織不會因為網絡攻擊而導致數據丟失或者業務中斷,但過多的安全設備有時候會適得其反。至于原因嘛,還要從大家小時候都吃過的甜品糖葫蘆串說起。眾所周知,糖葫蘆是用簽子將一個個山楂球串起來制作而成的。吃的時候,一般都是從上到下按順序一個個“消滅掉”。
為了吸引消費者,商家有時候還會將山楂球換成不同種類的水果,比如葡萄、桔子等等,但如果不喜歡某種口味想要跳過它吃下一個,并不是一件非常容易的事情,上面的冰糖會粘得滿嘴都是,一個不小心還會將相鄰的山楂球弄掉在地上。安全防護架構也大抵如此,就像這樣。
安全設備就像糖葫蘆一樣串成一串,等著檢查訪問服務器的網絡流量是不是有問題。想要跳過誰都不成。盡管不同的安全設備在部分功能方面有所重合,但沒有任何一款產品能夠包打天下,各自專注在最擅長的領域,是最高效的做法。但在這樣一個糖葫蘆串式的架構中,各個設備相互耦合,就像一個山楂球粘著另外一個山楂球,彼此影響。
“所有設備穿糖葫蘆式的接進來,所有流量就會流經所有安全設備。”奇安信集團副總裁、首席架構師吳亞東在9月13日的奇安信流量解密編排器發布會上說,這樣一來就會出現三個問題。
第一,訪問服務器的流量都要被一條鏈路上的所有安全設備檢查。
個人電腦會因為裝了各類安全軟件導致運行緩慢,其主要原因在于這些軟件在保護電腦的同時,消耗了過多的內存、CPU等硬件資源。網絡安全設備也是一樣。事實上不同類型的專業設備檢測的流量并不相同,并不需要檢查所有流量,即使檢測也檢測不出個子丑寅卯。而且,過度檢測只會導致非必要的性能損耗,從而影響業務系統的運行效率。
第二,一旦單一設備出現故障,會導致整個鏈路不通。
學過物理的都知道,在一個串聯電路中,任何一個元器件出現斷路,整條電路就都斷了,這就相當于開關沒有閉合。網絡也是一樣,任意一個網絡節點發生擁塞或故障,都可能導致業務訪問延遲大或業務中斷。而且,一旦故障發生,想要迅速找出故障點。逐個設備排查,費時費力,想要第一時間恢復純靠運氣。另外,對安全設備進行升級維護,都要提前通知預留割接窗口,且通常都在晚上或周末,非常耽誤時間。
第三,擴展性差,難以對安全設備進行橫向彈性擴容。
隨著企業業務量的擴張,舊有的安全設備一定會遇到性能瓶頸的難題。比如一臺防火墻吞吐量為1Gbps,但業務訪問流量如果增長到2Gbps,就會面臨著擴容的問題。常見的擴容方式包括橫向擴容和縱向擴容兩種。舉個例子。一所高校想要擴招,現有的宿舍樓肯定是不夠住了,必須得擴建。所謂縱向擴容就是指在原有宿舍樓基礎上,縱向往上加蓋幾層,得到一棟能容納更多學生的宿舍樓;橫向擴容是指重新選址,多蓋幾棟宿舍樓,大有“橫向發展”的意思。但網絡設備不是宿舍樓,不可能往上加蓋幾層,想要縱向擴容,只能換一個更好的。
在糖葫蘆串的網絡安全部署架構下,向糖葫蘆串中不斷串接設備這種橫向擴容方式并不適用,和木桶效應類似,流量處理能力取決于最小的那個設備,接再多的設備也無濟于事。最窄的地方“堵上了”,整條路也就“堵上了”。因此最理想的橫向擴容形式為HA雙主(即兩臺機器同時獨立運行,互不影響,流量處理能力約等于兩臺機器之和),但流量一旦超過其處理能力,還是得縱向擴容,將原有設備換成性能更高的型號。這樣一來,舊的設備就失去了用武之地,原有投資無法得保護。而且,更換設備會導致斷網,斷網也意味著業務中斷,這是所有組織都難以接受的,也不是網絡安全防護所想看到的結果。
流量調度室
其實不難看出,所有問題的癥結都在于這個“糖葫蘆串”上——這是流量到達訪問目標的唯一路徑,不管流量要在哪個設備上接受檢查,都得一個個過。想要解決這個問題,就得從根上解決“穿糖葫蘆”式的安全設備部署方法,讓特定流量只經過特定設備。
這和處理城市內澇的思路是一樣的,積水需要通過遍布全城的下水道網,引流到該去的地方,而不是僅僅依靠一個大的河渠。不過,網絡流量不像積水一樣,會在重力的引導下自動由高處流向低處。所以,奇安信在9月13日發布的流量解密編排器上,引入了智能化服務鏈編排技術。聽起來有點晦澀,但實際上就是給網絡流量造了一個“調度室”:讓從哪條路走,就從哪條路走,而不是都擠在主干道上。
服務鏈編排做的第一件事情,就是基于細粒度智能引流策略。包括對主干路經過的流量進行分類,然后將流量引流到由安全網元組構成的服務鏈上,比如需要進行漏洞檢測的轉發至IPS;需要進行Web防護的分流至WAF進行檢測;需要旁路檢測的,通過串聯鏈發送給相關設備,比如探針、IDS等。
這樣一來,過去“穿糖葫蘆”式的架構就不復存在了,取而代之的是一種“旁掛式”的架構,簡單理解就是下圖這樣子。
這樣做最大的好處就在于不同的安全設備再也不用檢測所有流量,而是根據業務安全需要,通過個性化的引流策略讓安全設備分工合作各司其職,從而大大降低了安全設備無效的工作負載,提升了整個網絡的運行效率。
第二件事情就是實時探測各個安全設備的運行狀態。
這么做的好處有兩個:第一個在探測到發生故障的安全設備時,可以啟動Bypass機制跳過故障設備,將原本需要經過該設備的流量,自動轉發至相同網元組內的其它同類型設備,保障業務持續運行;
第二個是對安全設備的運行狀態進行實時可視化展現,一旦設備運行出現問題,工程師可第一時間定位到故障點并修復,避免排障“全靠運氣”的尷尬局面。
第三件事情是安全設備的資源池化。
與傳統架構最大的不同是,資源池能夠實現安全工具和網絡架構的解耦,按需個性化智能引流,以及橫向彈性伸縮,安全資源利用率最大化。如前文所述,穿糖葫蘆式的架構是很難新增設備的,想要擴容只能將原有的設備換成一個更高端的,導致客戶TCO(總體擁有成本)持續增加。但服務鏈編排技術可以將舊的和新增的安全設備放入相同資源池,按照流量負載算法將流量牽引至不同設備處理,不但讓原有的安全設備仍然可以持續發揮作用,更重要的是帶來了動態橫向擴容的便利。
想要擴容,新增設備就完事了,流量解密編排器會把該過去的流量調度過去。當然,這三件事情對第三方的安全設備同樣有效,并不會因為采購了不同廠商的不同型號設備,出現服務鏈編排效果大打折扣的現象。
一次解密,多次檢測
有一點需要注意的是,服務鏈編排技術在如今加密流量時代顯得尤為重要。眾所周知,流量加密的本意是為了防止數據在傳輸過程中被監聽或者被劫持,但這同樣給了攻擊者隱藏自己的機會。互聯網超過90%的流量是加密流量,企業內部超過80%的流量是加密流量,95%的企業聲稱遭受過加密流量攻擊……
這幾個數據非常直觀地展示了針對加密流量檢測的緊迫性。
通常情況下,加密流量檢測最直接也最有效的方法,就是將密文流量解密成明文。不過,解密過程所消耗的CPU資源是非常驚人的,可以達到明文流量檢測的100倍之多。用一句話來形容,解密是CPU密集型操作。如此巨大的消耗,如果再讓所有安全設備都來一遍,導致CPU資源無故浪費不說,還勢必給系統網絡帶來極大的延遲。如果用簡單的算式計算,“糖葫蘆串”上串了多少個設備,就還會在100倍算力消耗的基礎上,再增加多少倍的算力消耗。這對任何組織來說,都是一件非常不劃算的事情。
而且,如此多的加密流量,經常大大超出安全設備的解密能力上限。為了保障業務連續性,網絡安全只能有所妥協,使得加密威脅成為企業當前面臨的重大問題之一。
如果使用奇安信流量解密編排器則大有不同。流量解密編排器搭載的高性能解密能力,能夠在完成流量解密之后,依托服務鏈編排技術將明文流量按需分發至既定的安全設備中,實現一次解密多次檢測,從而避免了CPU資源的浪費。
從這個角度上看,服務鏈編排技術稱得上是一位頂尖的網絡流量“指揮大師”。