拒绝自废武功 流量解密编排助力某大型央企实战攻防演习

加密流量的本意是防止在传输过程中被攻击者监听或者窃取数据，因为即便拿到了也看不懂。就像一个不懂摩斯密码的人代替情报员去监听敌方密码通信，就像读天书一般。

当然，这个效果对网络攻击流量也同样适用，再厉害的检测设备看着读不懂的密文也会武功尽废。

“我们项目团队做了大致估算，在目前加密流量占据主流的情况下，如果不对流量进行特殊处理，安全设备的加密流量检测能力估计要下降80%。”

尤其是综合类的安全运营平台如NGSOC，作为这家央企内部安全运营的核心枢纽，需要对业务系统、中间件、安全设备等的日志和流量做到应接尽接，除了配置预先设置的检测规则之外，还需要威胁建模工程师根据实际业务场景搭建新的检测模型，开发检测规则。

这个过程必须要解密后的流量，否则后续的威胁建模、关联分析根本无从谈起。

那不解密就不能做检测、不能做防御了吗？

有一点需要明确的是，解密的过程需要消耗大量的CPU资源，往往会给业务系统带来较大的延迟，对软硬件的性能也有很高的要求。

所以，这些年也诞生了一些不解密的检测方法，利用机器学习对网站域名、证书、程序指纹等进行特征识别，发现加密流量中的恶意攻击。

不过这种方法不仅误报率无法控制，而且有很大的局限性。

但在这家央企做流量解密，并不是一件非常容易的事情。

这是一家有着600多家下属单位，产权层级最多到8级， 19万员工，分布在全球31个国家地区，网络拓扑复杂的让人有些抓狂……

“好在两年多以前，该单位就做了很多工作，建立了覆盖全国90%的二级企业及部分三级企业的SD-WAN广域网，提供全网统一互联网出口服务，统一的云平台网络访问服务，对访问流量进行统一安全管理。”张翀斌说，即便是这样，这仍然是一个相当庞大的工程。

第一个问题其实还相对好办，只要能把相应的设备部署到既定位置即可。

但要做到第二点，需要对集团下属企业实现统一的安全监测与防护，抓住SD-WAN统一互联网出口及核心网络区域，全量梳理加密流量路径，在互联网出口区、云下托管IDC区、商密云区域等多个方向需要对加密流量进行识别与监测。

这是要在每一台设备上，都把复杂的解密过程都来一遍么？

从投入产出的角度来看，这么做显然十分不划算，不仅会导致CPU资源的大量浪费，还会导致业务系统延迟大幅增大。

显然，只会解密对这样一家大型央企而言，还远远不够。

“这事儿还得你们来帮忙。”张翀斌紧急联系了奇安信边界安全团队，他们最新推出了流量解密编排器，想必不在话下。

奇安信研发的流量解密编排器，基于自主研发的鲲鹏网络操作系统和专用的解密芯片，具备超高的SSL解密性能。产品可采用透明模式进行部署，整体过程对用户透明无感知。

与此同时，奇安信流量解密编排器支持服务链编排功能，所有经过的流量按照业务实际安全需求进行编排，性能高效、配置简单灵活。

借助流量解密编排器强大的安全编排能力，奇安信根据该央企的业务安全需求，规划设计了旁路链和串接链。

旁路链可以将所有解密后的依次发送给旁路安全检测设备，如HTTPS解密后的流量发送给天眼全流量威胁检测探针、IDS等，以实现对高级威胁检测以及API资产管理与安全监测；

串接链可将HTTPS解密后流量通过服务链接口按照服务链网元组顺序依次发送给FW、IPS、WAF等。这些设备看到的都是明文，可直接进行安全检测，从而大大降低网元工作负载。从网元回到编排器的流量还会重新加密转发出去。

基于流量解密编排器，该央企实现了一次解密、多次明文检测能力，大大提高了安全设备处理效率，以及全栈网络安全检测与防护能力。

“边界安全团队在客户的各条骨干网络上，共计部署了12套流量解密编排器设备。”通过上述方案，在原有统一安全监测与运营的基础上，解决了加密流量无法监控与防护的问题。虽然集团广域网流量大、用户多、范围广，但是由于实施了互联网收敛工作，全集团统一互联网出口，大大缩小了暴露面，也降低了安全防护的成本，对于重要时期的安全保障工作，具备了更加可靠的安全运行能力。

从统计数字上来看，整个攻防演习期间，通过流量解密编排器解密的攻击流量会话数多达6700多万次，检测到的各种攻击类型共计49类。

“没有流量解密编排器，其实我们一线团队会相当‘轻松’，不过第二天就等着被通报了。”张翀斌笑着说，“很简单，我们要看告警，如果检测设备看不懂密文流量怎么告警？那不就等着被打穿了。”