企业动态

    “传统网络安全部署多采用‘串糖葫芦’的部署模式，在面对日益激增的流量解密等安全需求时，显得力不从心。”9月13日，奇安信集团副总裁、首席架构师兼边界安全BG负责人吴亚东在流量解密编排器新品发布会表示，为了帮助客户应对加密攻击威胁，并满足弹性部署架构和动态扩容能力的需求，奇安信首创了集高性能解密和智能编排技术于一体的新产品，填补国内该领域的空白。

    01

    传统网络安全部署架构面临五大痛点

    吴亚东表示，传统的部署方式往往是安全设备依次串接，最终形成类似“糖葫芦串”的安全架构，从日益严峻的流量加密攻击形式下，这种架构的弊端显而易见，主要表现在五个方面。

    第一是单点故障多。在串接部署模式下，任何一组安全设备发生故障，都会有可能引起全网故障，影响客户业务，损失难以承受。“比如一台设备可靠性是99%，即故障率是1%，四台设备故障率就是4%。所以，这种串的旁路设备越多故障率越高甚至翻倍增长。”

    第二是延迟高。传统部署架构下，安全设备没办法根据流量业务类型，进行灵活分配，只能让所有安全设备承担所有流量，执行所有加解密过程。比如，当一个设备对SSL流量进行解密后，下个设备接收的依旧不是明文流量，还要继续解密。这相当于每个设备把所有工作都做了一遍，导致业务延迟高。

    第三是性能下降明显。根据NSS实验室的一项测试结果显示，很少有安全设备能够在不严重影响网络性能的情况下检查加密数据。平均而言，深度包检测的性能损失为60%，连接率平均下降了92%，响应时间则增加了高达672%。

    第四是横向扩展困难。当客户业务需要扩容时，传统串接模式就必须要进行设备替换，原有旧设备就等于浪费了，无法进行复用，导致投入增加。

    第五是升级维护困难。当升级软件、新增设备时，都要做整体调整，升级维护成本大，这个过程中很容易出现断网情况，又增加了业务中断成本。

    02

    四大武器实现“解编合一”制胜加密未来

    “不做解密的安全分析，就如同盲人摸象！”吴亚东表示。善于“隐身”的加密攻击给安全体系提出新的要求，看得见才是真安全。对此，奇安信正式对外发布国内首款流量解密编排器，它具备高性能解密、一次解密多次检测、智能策略引流、安全能力资源池化等四大优势。

    首先是软硬结合的高性能SSL解密，解密能力显著提升。吴亚东表示，纯软件形式的安全产品，SSL加解密能力普遍较低，极易出现性能不足、检测不全的问题。奇安信通过搭载硬件加速卡，并配合自研的异步调用技术，真正实现了软硬合一，理论上可以将SSL解密性能提升10倍以上，让加密流量检测更全面、更准确、更及时。

    其次是一次解密多次检测,摆脱效率缺陷。奇安信首创了智能化服务链编排技术，能够将明文报文分发至服务链上的各个安全设备，从而实现“一台设备成功解密，多台设备成果共享”，极大降低网络负载和资源消耗，大幅提升了加解密效率。

    第三是多维度智能策略引流。流量解密编排器能把不同类型的数据流量进行分类和引流，并提供了丰富的匹配条件，包括源IP、目的IP、服务、VLAN、应用、域名、URL等，让特定的流量，穿过不同的安全工具进行检查，实现了真正的精细化编排引流，节省资源并显著提升效率。

    最后是安全能力资源池化。奇安信通过重构安全设备的传统部署架构，通过网元组、负载分担、健康监测、流量编排等技术手段，实现了安全设备资源池化，让整个安全设备的部署架构更有弹性，具备动态扩容的能力。安全资源池能兼容各个厂商的安全设备，支持多样化专业的安全组件，实现安全能力快速扩展；还能依靠独特的探测机制保障业务连续性，从而大大降低业务中断风险和总体维护成本。

    据介绍，奇安信国内首创的流量解密编排器，凭借消除盲点、提高效率、降低成本等优势，已经在2022北京冬奥网络安全保障，以及国家级实战攻防演习中，获得了很好的实战验证，并为北京冬奥网络安全保障“零事故”立下了汗马功劳。