证券行业-SSLO解密和编排案例
摘要
某证券线上业务正加速扩张,业务规模呈现显著增长态势,安全防护成为业务发展的核心考量项。
该证券的核心业务面向互联网开放,需要配套对应的安全检测与防御手段,但在引入新的加解密和安全检测设备上,经过前期沟通达成两个标共识:
业务数据采用加密传输,需在安全检测前完成解密,才能保障检测的有效性;
业务要求安全检测环节具备高可靠的架构设计,保障业务稳定运行;
推进加密流量安全防护的过程中,现有架构面临解密节点部署、安全设备接入、高可靠组网融合等一系列待解决的问题,需要一套兼顾安全合规与业务高可用性的解决方案。经过反复论证和测试,最终选择并落地了山石的SSLO解密和编排方案。
一、项目需求描述
客户原有的互联网架构,在出口部署有F5的LTM设备,实现了入项的负载和流量调度,在此基础上,山石引入的SSLO解密和编排方案需要满足四个建设需求:
需解决加密流量的解密需求,明确解密节点的部署方案,同时保障新增设备与原有高可靠组网的平滑整合,整体架构需具备可靠、可控、稳定及可扩展的特性。
需实现 WAF 等安全防护设备的平滑接入,简化互联网入口架构的复杂度,接入过程不影响现有业务架构。
需保障 WAF 等安全设备的检测有效性,确保解密后的明文流量可被安全设备完整检测。
需将 WAF 等安全设备融入现有高可靠组网设计中,兼顾安全设备的高可扩展性,同时满足安全合规要求与业务高可用性。
二、配置部署方案
基于建设要求和山石SSLO解密与编排方案的最佳实践,结合客户的组网,最终的方案配置和部署体现在三个层面:
1. 组网部署架构
新增两台山石 ADC 设备作为 SSLO,采用旁挂方式部署在交换机上,两台设备独立工作。
SSLO 下挂 WAF 服务链,WAF 设备与 SSLO 设备之间采用 Full mesh 全互联方式连接。
2. 流量转发与配置逻辑
最外层 LTM 设备负责流量分发,LTM 的 RS Pool Member 包含 SSLO 设备对外暴露的 VS 和后端真实 RS,配置应用层健康检查,通过设置不同优先级实现主备切换。
两台 SSLO 设备分别对外暴露独立的 VS,VS 内调用 WAF 服务链,VS 的 RS Pool Member 包含后端真实 RS。
WAF 服务链包含两台 WAF 设备,WAF 采用透明部署模式,通过轮询方式实现负载均衡,采用 ARP 健康探测机制。
3. 故障自愈机制
当 WAF 设备出现故障时,SSLO 会自动将故障 WAF 从服务链中剔除,保障流量转发不受影响。
当主用 SSLO 设备出现故障时,流量会自动切换至备用 SSLO 设备。
当两台 SSLO 设备均出现故障时,流量会自动切换至后端真实 RS,实现完全无人干预的秒级自动化切换,保障业务不中断。
三、方案涉及的关键组件
山石信创ADC(实现SSLO解密与编排的核心组件)
山石信创WAF(基于HTTP和HTTPS报文实现安全检测的核心组件)
四、方案价值优势说明
最大化网络可用性
简化的单点接入架构,只需串联一次,减少网络故障点;
健康检查机制实时监控安全设备状态,自动绕过故障设备或设备组,网络无感知,网络自愈能力强;
保障工具高可用,确保网络始终受到保护;
最大化运维效率
随时验证、部署、升级、维护安全设备;
灵活地进行安全设备内联/带外模式的切换;
灵活编排安全设备顺序,无需重新布线;
灵活编排不同业务的安全服务;
统一管理、配置、监测安全;
弹性伸缩,灵活扩展;
最大化设备效能
通过流量筛选缓解安全设备过载,提升网络性能;
网络升级时,利旧现有设备并弹性扩展安全设备的性能,提高投入产出比;
安全设备松耦合,能够支持不同厂商设备组成资源池,降低同一供应商的依赖;
串联SSL卸载,一次解密多次使用,降低安全设备负载,减少网络延时。
山石网科是中国网络安全行业的技术创新领导厂商,由一批知名网络安全技术骨干于2007年创立,并以首批网络安全企业的身份,于2019年9月登陆科创板(股票简称:山石网科,股票代码:688030)。
现阶段,山石网科掌握30项自主研发核心技术,申请560多项国内外专利。山石网科于2019年起,积极布局信创领域,致力于推动国内信息技术创新,并于2021年正式启动安全芯片战略。2023年进行自研ASIC安全芯片的技术研发,旨在通过自主创新,为用户提供更高效、更安全的网络安全保障。目前,山石网科已形成了具备“全息、量化、智能、协同”四大技术特点的涉及基础设施安全、云安全、数据安全、应用安全、安全运营、工业互联网安全、信息技术应用创新、AI安全、安全服务、安全教育等10大类产品及服务,50余个行业和场景的完整解决方案。
热门跟贴