互联网流量编排方案

简介: 【2月更文挑战第23天】

互联网接入区流量编排既要考虑现有接入区安全资源整合问题,也要解决前置区当前安全架构存在的一些主要问题。互联网接入区流量编排的主要原则是实现安全资源和网络架构解耦;实现接入区、前置区安全资源的统一、池化管理;解决SSL解密后的问题,为各前置区提供统一的解密流量;实现基于业务的个性化、灵活、按需流量编排。


安全设备流量编排逻辑架构,在现有互联网接入区建立流量编排集群,并将接入区及前置区各类安全资源抽离出来集中部署于流量编排层下,形成不同的安全资源池,实现当前安全资源与网络架构的解耦,实现接入区、前置区安全资源的统一、池化管理,并将前置区SSL加解密功能上移到流量编排架构下,为安全资源池和各前置区提供统一的解密流量,简化和统一各前置区的架构。

流量编排集群:主要负责接收公网或内网发来的业务访问流量,对流量进行识别、分类,并根据业务、安全需求对不同流量进行统一调度。流量编排集群根据相应的策略将请求转发给相应安全资源池,安全资源池完成相应检测后再将请求送回流量编排集群。针对七层加密业务流量,流量编排集群本身可以考虑同步进行加解密操作,也可以先编排SSL。加解密设备,加解密完成后再将明文送到各组安全资源池。


安全资源池:安全资源池由两台或两台以上具备相同功能的安全设备组成,如SSL加解密资源池、国密资源池、IDS资源池、应用层防火墙资源池、防病毒资源池等。安全资源池设备在同城可以双中心部署,同一资源池提供相同的安全服务功能。安全资源池也可以随安全需求的增加进行扩展。


流量编排服务链是实现个性化安全防护的关键,服务链是一个指定安全设备检测顺序的集合。无论是通过前端负载分发设备或通过线路引流方式,只要将需要被编排的业务流量引入流量编排集群即可进行灵活的业务流量编排,实现差异化的安全策略。流量编排集群对于编排的安全资源池设备基本没有限制,无论是Web代理网关类型的设备、以三层路由模式部署的网络设备、以传统二层透明网桥方式部署的安全设备(如WAF、IPS等)、以ICAP协议为主的DLP数据预泄露或者防病毒网关类似的设备,还是常见的IDS、日志等TAP安全设备均可进行集中统一编排和调度。


流量编排集群中接入了四类安全资源池设备(SSL、NGFW、IPS、WAF),根据不同业务需求,流量编排服务链和安全策略可以为其中任意一种方式。


针对不同业务场景,流量编排集群定义了三种不同的安全策略服务链,安全策略服务链定义了业务流经不同安全资源池的顺序,当业务请求到达流量编排集群时,首先会根据源地址、源端口、目标地址、目标端口、网络协议TCP五元组,IP的地址位置,访问的域名,IP的信誉库等进行分类。然后根据不同的分类流量绑定不同的安全策略服务链,绑定安全策略服务链的业务会根据服务链中定义的安全设备检测顺序依次进行检测。通过服务链对不同业务部署个性化、灵活的安全策略服务,可实现业务流量按需编排调度。

除了流量编排集群本身可提供高可靠性和弹性扩展外,其调度的对象各安全资源池同样可实现弹性和高可用,以避免单点安全设备故障场景导致整体业务受损或中断。


在实际生产中,安全设备的上线通常是分批次的,而且不同批次的设备性能可能存在差异。如WAF设备,第一批次上线的设备配置较低,而第二批次上线的设备配置高,在这种场景下,流量编排集群可以通过负载均衡算法,根据安全设备性能将不同比率业务流量分发给不同性能的安全设备,实现负载的均衡和安全资源的有效利用。


另外,采用流量编排服务链方案,可以针对安全设备运维和业务特点制定灵活的部署策略,实现双模安全部署。例如安全设备的灰度上线,无论是新安全资源池上线,还是现有安全资源池中新设备上线,均可通过灰度方式将少量业务流量引导给新安全资源池或新设备,待验证稳定后再进行业务全面切换。基于单个业务,同样可以指定不同的服务链,如生产链和灰度链,生产链更注重合规、稳定、可靠,而灰度链更注重攻防与对抗。

相关文章
|
运维 监控 数据可视化
云网管 ---云上构建网络自动化体系
云网管是基于阿里云网络多年技术和经验沉淀打造的云上智能网络管理运维平台,提供企业网络全生命周期管理运维的能力,让部署更快捷、运维更高效、网络更透明。
云网管 ---云上构建网络自动化体系
|
7月前
|
Cloud Native 测试技术 持续交付
构建高效稳定的云原生应用部署策略云端防御:云计算环境中的网络安全与信息保护策略
【5月更文挑战第27天】 在快速迭代和持续交付成为企业软件开发新常态的今天,如何确保云原生应用的部署效率与稳定性是每个运维工程师面临的重要挑战。本文将探讨一种综合性部署策略,该策略结合了容器化技术、微服务架构、自动化测试以及持续集成/持续部署(CI/CD)流程,旨在为现代云原生应用提供一个可靠且高效的部署模式。通过分析传统部署模式的不足,并引入先进的技术和实践,我们的目标是降低部署风险,提高部署速度,同时确保产品质量和服务的稳定性。
|
7月前
|
弹性计算 安全 数据安全/隐私保护
一、基于Fortinet的出海业务访问加速方案--详细部署步骤
本方案基于CADT提供一个一键交付零配置的部署模板,帮助企业快速构建出海业务访问加速的环境。方案结合了Fortinet产品以及阿里云的ECS,BGP公网精品IP等产品,实现低成本的出海业务加速。
332 0
|
运维 安全 Cloud Native
云原生网关如何实现安全防护能力
采用 Higress 三合一的架构,可以显著降低成本,并提高系统整体可用性。
云原生网关如何实现安全防护能力
|
容器
阿里云最新产品手册——云基础产品与基础设施——计算——弹性容器实例——应用场景之互联网突发、周期性弹性业务
阿里云最新产品手册——云基础产品与基础设施——计算——弹性容器实例——应用场景之互联网突发、周期性弹性业务自制脑图
407 1
|
运维 达摩院 Kubernetes
《云原生架构容器&微服务优秀案例集》——02 汽车/制造——苏打智能 借力阿里云 AHPA 轻松应对突发流量
《云原生架构容器&微服务优秀案例集》——02 汽车/制造——苏打智能 借力阿里云 AHPA 轻松应对突发流量
273 0
|
云计算
阿里云产品体系分为6大分类——云计算基础——云通信——流量服务
阿里云产品体系分为6大分类——云计算基础——云通信——流量服务自制脑图
131 0
阿里云产品体系分为6大分类——云计算基础——云通信——流量服务
|
7月前
|
负载均衡 算法 Java
流量治理基础
如果要了解微服务流量是如何治理的,那么我们需要先了解微服务的流量是如何调用的,在这之前我们必须先熟悉一些基础的知识。本文将借助于我们常见的微服务开发框架Spring Cloud与Apache Dubbo来介绍微服务的服务注册与发现模型、服务路由模型以及负载均衡。当我们了解并熟悉了这些能力之后,我们可...
流量治理基础
|
运维 监控 安全
《2023云原生实战案例集》——06 医疗健康——谱尼测试 基于SAE实现业务快速上线并从容应对流量洪峰
《2023云原生实战案例集》——06 医疗健康——谱尼测试 基于SAE实现业务快速上线并从容应对流量洪峰
|
调度
《全新的混合云管理模式-统一的观测、治理、弹性、调度》电子版地址
全新的混合云管理模式-统一的观测、治理、弹性、调度
75 0
《全新的混合云管理模式-统一的观测、治理、弹性、调度》电子版地址
下一篇
DataWorks