互联网接入区流量编排既要考虑现有接入区安全资源整合问题,也要解决前置区当前安全架构存在的一些主要问题。互联网接入区流量编排的主要原则是实现安全资源和网络架构解耦;实现接入区、前置区安全资源的统一、池化管理;解决SSL解密后的问题,为各前置区提供统一的解密流量;实现基于业务的个性化、灵活、按需流量编排。
安全设备流量编排逻辑架构,在现有互联网接入区建立流量编排集群,并将接入区及前置区各类安全资源抽离出来集中部署于流量编排层下,形成不同的安全资源池,实现当前安全资源与网络架构的解耦,实现接入区、前置区安全资源的统一、池化管理,并将前置区SSL加解密功能上移到流量编排架构下,为安全资源池和各前置区提供统一的解密流量,简化和统一各前置区的架构。
流量编排集群:主要负责接收公网或内网发来的业务访问流量,对流量进行识别、分类,并根据业务、安全需求对不同流量进行统一调度。流量编排集群根据相应的策略将请求转发给相应安全资源池,安全资源池完成相应检测后再将请求送回流量编排集群。针对七层加密业务流量,流量编排集群本身可以考虑同步进行加解密操作,也可以先编排SSL。加解密设备,加解密完成后再将明文送到各组安全资源池。
安全资源池:安全资源池由两台或两台以上具备相同功能的安全设备组成,如SSL加解密资源池、国密资源池、IDS资源池、应用层防火墙资源池、防病毒资源池等。安全资源池设备在同城可以双中心部署,同一资源池提供相同的安全服务功能。安全资源池也可以随安全需求的增加进行扩展。
流量编排服务链是实现个性化安全防护的关键,服务链是一个指定安全设备检测顺序的集合。无论是通过前端负载分发设备或通过线路引流方式,只要将需要被编排的业务流量引入流量编排集群即可进行灵活的业务流量编排,实现差异化的安全策略。流量编排集群对于编排的安全资源池设备基本没有限制,无论是Web代理网关类型的设备、以三层路由模式部署的网络设备、以传统二层透明网桥方式部署的安全设备(如WAF、IPS等)、以ICAP协议为主的DLP数据预泄露或者防病毒网关类似的设备,还是常见的IDS、日志等TAP安全设备均可进行集中统一编排和调度。
流量编排集群中接入了四类安全资源池设备(SSL、NGFW、IPS、WAF),根据不同业务需求,流量编排服务链和安全策略可以为其中任意一种方式。
针对不同业务场景,流量编排集群定义了三种不同的安全策略服务链,安全策略服务链定义了业务流经不同安全资源池的顺序,当业务请求到达流量编排集群时,首先会根据源地址、源端口、目标地址、目标端口、网络协议TCP五元组,IP的地址位置,访问的域名,IP的信誉库等进行分类。然后根据不同的分类流量绑定不同的安全策略服务链,绑定安全策略服务链的业务会根据服务链中定义的安全设备检测顺序依次进行检测。通过服务链对不同业务部署个性化、灵活的安全策略服务,可实现业务流量按需编排调度。
除了流量编排集群本身可提供高可靠性和弹性扩展外,其调度的对象各安全资源池同样可实现弹性和高可用,以避免单点安全设备故障场景导致整体业务受损或中断。
在实际生产中,安全设备的上线通常是分批次的,而且不同批次的设备性能可能存在差异。如WAF设备,第一批次上线的设备配置较低,而第二批次上线的设备配置高,在这种场景下,流量编排集群可以通过负载均衡算法,根据安全设备性能将不同比率业务流量分发给不同性能的安全设备,实现负载的均衡和安全资源的有效利用。
另外,采用流量编排服务链方案,可以针对安全设备运维和业务特点制定灵活的部署策略,实现双模安全部署。例如安全设备的灰度上线,无论是新安全资源池上线,还是现有安全资源池中新设备上线,均可通过灰度方式将少量业务流量引导给新安全资源池或新设备,待验证稳定后再进行业务全面切换。基于单个业务,同样可以指定不同的服务链,如生产链和灰度链,生产链更注重合规、稳定、可靠,而灰度链更注重攻防与对抗。