基础架构

零事故的背后:一道关乎北京冬奥的网络纵深防线

LensNews

说起流量,此次北京冬奥会大家所熟知的“超级顶流”至少有两个:赛场之内,非滑雪运动员谷爱凌莫属,无论是勇夺两金一银的顶尖竞技水平,还是韭菜盒子、商品代言,都成为了人们茶余饭后津津乐道的话题;赛场之外,那一定是白白胖胖的冰墩墩了,其火爆程度使得“一户一墩”的美好愿望和“一墩难求”的骨感现实形成了鲜明的对比。

除此之外,还有一样东西大家可能相对陌生一些,但也绝对配得上“顶流”一词:它们承载着冬奥会相关信息系统的所有网络流量,并且还要尽可能把其中的恶意流量拦截下来,拦截时还不能影响冬奥相关业务的正常开展。

它们中有负责组网互联的,有负责恶意流量拦截的,还有负责加密流量解密的,总之它们有一个共同的名字:网络边界设备。

48小时,300+SD-WAN设备组网上线

据统计,北京冬奥会设置了7个大项、15个分项、109个小项,吸引了来自91个国家和地区的超过2800名运动员参赛。

所有外籍运动员来到中国后都会遇到一个窘境:没有相关的身份信息。因此,所有需要实名认证的事情如酒店入住等就会比较麻烦。

但显而易见,所有运动员的身份信息都是在奥组委处注册报名过的,只不过冬奥的网络系统处于隔离网环境。想要解决这个问题,就得把互联网和冬奥的网络连接起来。

然而,一旦冬奥的网络接入了互联网,就会直接面对各种来自互联网的安全威胁,比如钓鱼网站、勒索病毒、挖矿木马等等。

所以,组网方案一定要和网络安全融合内生。那么,有没有这种方案呢?

2022年1月5日,小寒。刚刚结束元旦假期的奇安信副总裁、边界安全负责人吴亚东立马接到了一个极富挑战性的任务:北京冬奥组委决定采用奇安信安全SD-WAN完成组网。

顾名思义,安全SD-WAN就是同时具备了组网和安全防护两个方面的能力。

作为时下最流行的组网设备,SD-WAN的核心能力就是以软件定义的方式,将不同地域的企业网络、数据中心、云服务系统等连接起来,并且实现网络流量的可视、可管。而奇安信安全SD-WAN则是在此基础上,内置了端到端安全防护能力,提供恶意流量防护、防病毒、上网行为管理等。

在第一时间与冬奥组委完成沟通后,奇安信边界安全团队获取到组网业务需求如下:通过SD-WAN连接冬奥场馆各个业务系统并实现数据交互,打通运维人员远程访问云平台后端业务系统的路径,联结双网络中心区域与机场、车站、酒店与医院进行人员数据调度。

这也就是说,主备数据中心、主备网络中心、各竞赛场馆以及相关的机场、酒店、车站、医院等等凡是和冬奥相关联的地方,都要用SD-WAN把网络连起来。

满足冬奥组网和安全方面的需求,奇安信安全SD-WAN自然不在话下。第四代SecOS操作系统和异步并行处理的专利技术,为安全网关提供高性能的数据转发处理能力和高效安全的加密4G传输通路,最大限度保证冬奥相关系统的业务连续性和安全性。

然而,真正的挑战并不在历经多次打磨的产品上。

吴亚东初步估算了一下,面对如此多的网络节点,起码要部署300+台设备。即便立马开始行动,剩下时间最多就半个月。更棘手的是,为满足场馆设备进场进度要求,SD-WAN设备需从1月20日开始部署,23日正式上线运行,满打满算也就96个小时。

显然,这是一个巨大的工程。

短暂思考之后,吴亚东就留下了一句话:“趁设备还没进场,抓紧搭建环境测试吧,这样现场部署调试的坑会少一点。”

接下来的十几天,边界安全团队办公区夜夜灯火通明,定制化功能、业务系统联结交互测试有条不紊进行着。

1月20日,满载奇安信安全SD-WAN设备的货车,缓缓开到了西直门外南路26号院奇安信安全中心的楼下,进场部署的日子到了。

2022-04-12_104703.jpg

受益于前期进行的业务模拟测试与1:1环境搭建环境验证,交付师傅们的安装调试过程十分顺利,于1月22日晚在48小时内上线了300+SD-WAN安全组网设备并进行交付运营。

“奇安信安全SD-WAN零配置上线的能力,大幅度节省了一线交付团队的安装调试时间。”吴亚东自豪地介绍到,4G上线的方式,使其能够自动注册安全网关并从管控平台获取网络配置和安全策略配置,同时基于设备的角色和WAN/LAN接口属性,自动化构建Overlay网络。并且,当网络接口发生变更时,整个Overlay网络会自动形成新的Overlay网络拓扑,从而降低了组网开通业务的复杂度,实现分钟级部署安装。

为保证网络接入的安全性,奇安信安全SD-WAN还使用了双向证书认证的SSL连接,整个配置以及控制通道均采用SSL加密通道,可以做到防止不受信任的CPE设备接入用户的SD-WAN网络、防止针对CPE设备和管控平台的中间人攻击以及加密管控平台与CPE设备之间的加密通信。

流量防护,加解密的战争

尽管奇安信安全SD-WAN天生就具备了安全能力,但其核心仍然是组网,说到网络边界的流量防护主力,防火墙的能力依然无与伦比。

“我们在数据中心骨干网出口处,部署了近80台防火墙。”吴亚东说,奇安信新一代智慧防火墙集成了一体化威胁防护引擎,可对500余万流行病毒、5000余种漏洞利用攻击和1000余种间谍软件行为等提供高性能防护。

在这样严密的防护下,不加任何伪装的明文攻击流量几乎无机可乘。

然而,明文流量早已成为过去式。统计显示,在冬奥期间所有奇安信新一代智慧防火墙滤过的流量中,加密流量超过了80%。

和明文流量传输所不同的是,密文传输的主要目的是防止流量劫持、中间人攻击等手段造成的信息泄露。但加密流量同样让网络攻击隐藏在其中,Gartner的一项研究数据显示,2019年以来就超过半数的恶意软件攻击使用了加密流量。

更令人担忧的是,自从2020年全球爆发新冠疫情以来,加密流量的威胁增加了5倍。

有加密自然就有解密。事实上,在加密流量满天飞的今天,流量解密可以说是防火墙的必修课之一。

但是流量解密是一个技术活,并不是谁来都能干的。且不说解密的水平怎么样,单是解密的效率就够让人喝一壶的。

根据NSS实验室的一项测试结果显示,很少有安全设备能够在不严重影响网络性能的情况下检查加密数据。平均而言,深度包检测的性能损失为60%,连接率平均下降了92%,响应时间则增加了高达672%。然而,一些需要被分析的流量却根本没有被这些安全设备所处理。

这样的效率和性能损失对于一般企业而言都很难接受,更不要说对网络连续性要求近乎严苛的冬奥会了,毕竟电视机前的观众谁也不想把优美的冰雪竞技,当成是幻灯片来看。

为了解决这个问题,奇安信新一代智慧防火墙引入了高性能SSL流量解密卡,其内置的加解密引擎,能够将解密性能提升10倍。

这很大程度上得归功于异步调度。说起异步调度,那么它的同胞兄弟同步调度就不得不提。

所谓同步调度就是在程序继续执行之前需要等待同步方法执行完毕返回结果,而异步调度就是在被调用之后立即返回以便同时执行其它操作。

举个简单的例子。当储户去银行办理业务,叫号完毕之后一直在大厅等待业务办理完毕再起身离开的就是同步调度;叫号完毕之后出去吃个饭,等到差不到到自己号了再来柜台办业务的就是异步调度。

显然,对于储户而言,异步调度要比同步调度效率高很多。那么同理,面对冬奥会期间高并发的流量,异步调度能够把解密引擎和CPU的利用率提升到最高,从而降低网络拥堵发生的可能性。

2022-04-12_104721.jpg

这些经过解密的流量在经过防火墙初步过滤之后,还会以流量镜像的方式,借助明文旁路模式、SSL解密的明文隧道模式同步给旁路检测设备(如IDS/NTA),进一步进行深度包检测和元数据提取。

“这种防火墙解密+旁路检测明文旁路模式是奇安信的首创,大幅提升了流量侧威胁发现的效率和准确率。”吴亚东说。

统一编排,智能引流

与此同时,在网络边界执行防护任务的,还远远不止防火墙一种。

比如防毒墙,主要用于发现流量中混入的恶意软件;再比如Web应用防火墙,主要是针对Web应用层识别恶意攻击命令……

所有这些设备构成了网络边界的纵深防御体系,黑客要想攻进来,就得突破一道有一道的防线。就像抗美援朝第五次战役中的种子山阻击战,志愿军189师9000人一把芝麻撒在200个小阵地上,也得让“联合国军”拔五天。

2022-04-12_104736.jpg

电视剧《跨过鸭绿江》

但这么多的安全设备也带来一个问题——所有设备都是串联接入到冬奥网络系统中的。学过物理的都知道,一旦串联电路中任意一个元器件发生断路,整个电路也就断了。想要找出故障点,就得逐个元器件进行排查。

而且这么多的网络设备,一定会消耗大量的带宽资源。试想一条网络出口上,如果设置了这么多的“安检机构”,其效率肯定会大打折扣。

显然,这给冬奥网络连续性带来了很大的挑战。

“这也是我们防火墙的高明之处。”吴亚东说到,基于奇安信自主研发的鲲鹏网络操作平台,奇安信智慧防火墙具备了强大的物理安全网元服务链编排能力。

2022-04-12_104759.jpg

通俗来说,奇安信智慧防火墙具备了“指挥流量”的能力,其好处是不言而喻的。

首先,经过防火墙解密的流量在由操作系统引流之后,可以自动分发至串接的各个安全设备,这样一来后续的安全设备就不用再对加密流量进行单独解密,从而降低了网络资源消耗和负载。即便是抛开解密效率不谈,也大幅提升了整个链路的运行效率。

其次,整个链路的流量可以实现“按需分配”。假设某个网络出口的带宽是5G,链路中部署了两台IPS,其中一台的处理能力是2G,另一台是4G,那么在带宽满载的情况下,如果按照流量平均分配原则,其中一台WAF就超负载了,必然会造成阻塞现象,而在智能流量调度下就不存在这个问题,2G的IPS就处理2G的流量,剩下的交给4G那台就好了。

即便是某一台设备发生了故障,奇安信智慧防火墙也会将流量智能牵引至没有发生故障的设备中。

第三,经由编排的流量能够可视化展现,方便运维人家进行集中管控和运维。一旦某点出现故障,可以第一时间找出故障点并进行修复。

“冬奥对于奇安信来说是一次综合测试,防火墙、SD-WAN负责答的是网络边界部分。”吴亚东说,“经过数十年的发展,作为老三样的防火墙历久弥新,终于有了现在‘智慧’的风貌。不变的是,无论是否面对冬奥会,它始终是网络边界最值得信赖的防守尖兵,与其他设备一起组成了牢固的纵深防线。”

(4)

本文由 计算杂谈 作者:云中子 发表,转载请注明来源!

关键词:
LensNews

热评文章

发表评论