长期以来,安全架构组网是以网络为中心,基于物理拓扑,首先满足网络连通性需求,在此基础上叠加安全需求,安全产品通常采用串行模式接入到网络环境,这种串“糖葫芦”的架构架构看起来结构清晰、部署简单、扩展方便,但同时也牺牲了架构的灵活性,且资源利用率较低,已无法适应当前以应用为中心、个性化、主动式的安全防护需求。
一. 传统架构所面临的五大问题和挑战
问题一:安全架构与网络架构紧耦合
安全设备的处理机制远比网络设备复杂,并且安全设备的部署严重依赖于现有网络拓扑,因此当新业务上线、扩容或已有业务发生变更时,需要手工调整所有转发路径下的工具策略,牵一发而动全身,很难为不同业务统一提供差异化、个性化的安全策略。
问题二:加密流量造成的“安全盲区”
当前,加密流量在网络流量的占比越来越高,而基于内容过滤、审查模式的安全设备无法对加密流量做处理,导致出现“安全盲区”
问题三:安全资源无法复用,利用率低
安全设备通常是基于流模式工作的,该模式下,为保证业务来回一致性,大多数安全设备通常采用主备模式部署,无法实现负载分担,导致利用率低下。而主主模式的安全设备,往往因为机制处理复杂,又增加出故障的概率。
问题四:安全资源无法池化,扩展性差
安全设备缺乏横向扩容能力,大多数安全设备均不支持集群模式。
在安全资源串接部署的模式下,流量均需要经过安全设备,而不能基于具体业务需求提供差异化服务。随着业务量不断增长,安全设备往往还会成为性能瓶颈,一旦出现性能不足,通常只能引入更高端的设备进行纵向扩容,容易造成资金浪费。
问题五:安全设备十国九治,运维困难
安全设备往往与业务息息相关,安全设备的行为更多的类似于黑盒子串接在网络架构中,问题排查难度大。在遇到业务异常、网络中断的情况下。管理员对网络中串接的安全设备排障,往往需要丰富的经验和多个产品厂商的配合,对运维造成很大的压力。
安全设备串“糖葫芦”部署模式,运维复杂
二. 太一星晨解决方案
针对上述难点,太一星晨结合多年的数通、网络安全产品研发经验,深入探索基于业务的统一智能流量编排方案,从互联网架构转型入手,解耦网络设备与安全资源的关联,并通过流量编排,在确保网络架构整体高可用的前提下,实现资源池化管理和弹性伸缩,进而提升安全资源的利用效率,以满足个性化、差异化、按需的安全监测和业务流量编排需求。
:: 方案优势 ::
太一星晨智能流量编排产品,改变了原有网络设备部署串“糖葫芦”的部署模式,实现安全资源池化。与传统网络方案相比,该方案有以下明显优势:
1. 实现SSL/TLS等加密流量可视化,消除安全“盲点”,避免SSL/TLS流量对安全设备的绕过;
2. 同厂商或不同厂商的安全设备池化后,实现彼此之间“松耦合”可灵活扩展,提升安全处理能力。淘汰更新的老旧设备,依然可以作为资源池设备,加入其中,避免资金浪费。
3. 提供安全设备横向扩容能力,支持不同品牌、型号的相同设备混杂一起,共同工作,性能不足时,可以任意添加新的设备,不影响业务转发;
4. 智能编排,快速排障,太一星晨智能流量编排在业务转发中,会自动探测流经设备的可用性,当出现设备异常时,可快速切换或者BYPASS掉异常设备组。便于排障,节省运维成本。
5. 高可靠性与高性能并存,太一星晨智能流量编排设备可提供最高120G四层编排处理能力,以及10万TPS、50Gbps的SSL处理性能,同时采用电信级高可靠性硬件,自身支持主备、主主、集群工作模式,提供高可靠冗余。