T-Force ADC 灵活可扩展SSL卸载资源池解决方案

发布时间:2022-03-03


大流量场景中的性能 vs 安全

近日网络安全最吸引眼球的,莫过于“匿名者”对俄网络的群体攻击及Killnet的相关反击。从这场备受瞩目的事件中,我们不难看出,随着互联网的发展,人们对网络的依赖性越来越强,网络安全事件的不断发生,也促使政府及企业的网络安全意识在不断提升。


采用加密协议、防止数据泄露,是保障业务安全的必要环节。


问题来了:虽然业务加密可以很好地确保在传输过程中业务的私密性和安全性,但加密传输业务对服务器来说,则需要进行额外的资源解密。因此,造成了这样的一个困惑:在业务量大的场景中,是要保证性能,还是要保证安全呢?


针对大业务量场景下,如何避免SSL加密成为业务瓶颈的困惑,太一星晨T-Force ADC提出了新的解决方案,并已在某省医疗部门获得了落地实施和验证。

 

用户需求


某省级医疗单位出于安全考虑,对业务采用了SSL加密方式传输。但在大业务场景中,服务器处理性能明显不足。


在传统方案里,为了实现加密业务卸载,ADC需要插入到业务前端——这就改变了用户环境。

但在这个项目中,由于业务已经上线,为了确保业务连续性,用户明确要求,既要实现加密业务卸载,还不能改变环境,同时兼顾性能拓展,以及服务器对源IP的审计——即在不改动内网结构的情况下,对内网服务器进行ssl卸载交付。
 

太一星晨T-Force ADC SSL卸载资源池解决方案


为了保证业务的安全性,以及安全和服务资源利用的合理性,该医疗单位部署了太一星晨的T-Force ADC产品作为SSL卸载资源池,在业务量剧增的环境下依然保证服务器的安全和处理效率。


 

用户通过对外层ADC的虚拟服务访问,业务被转发到旁挂的ADC1上,ADC1再通过四层负载将业务发送到负责SSL卸载的ADC2、ADC3上,由此,完成了对加密数据的解密。


随后,流量被转发给真实服务器,真实服务器收到明文请求并处理完成后,发回核心交换机,核心交换机则通过策略路由,将业务回复发送至ADC2、ADC3重新加密,依照原路发回客户端。


如此,即使后续业务量增加时,增加SSL卸载的ADC数量即可,不影响业务的连续性。
 

方案优势


通过太一星晨T-Force ADC SSL卸载资源池解决方案,在不更改用户现有业务环境的前提下,形成了可扩容的SSL卸载资源池,为日后业务量灵活扩展提升,提供了有效保障。通过4层 TCP option 以及7层 x-forward-for等方式,实现了对源IP的合审计。


在实际的应用过程中,太一星晨T-Force ADC SSL卸载资源池解决方案大大减轻了服务器的业务负担,提升了用户体验,保证了业务的稳定性、持续性,因此得到了用户方的一致赞扬。