安全、提效、易维护一个不能少，某信息中心如何一箭三雕？

“作为下属两千余家单位的组织，我们的数据中心经常要同时考虑多个方面，既要保障系统的安全可靠性，还要兼顾业务的连续性，以及提高设备利用率的同时降低运维成本。”某国家级信息中心相关负责人这样表示。

某信息中心是中华人民共和国国务院直属的综合性科研机构，是国内领先的信息化研究和战略咨询组织，下属两千余家单位。其主要任务是为国家发展战略和决策提供科学化、信息化的决策支持和智力支持，旨在推动我国信息领域的发展和建设。该信息中心的主要研究领域包括国家信息化战略与规划、信息资源开发与利用、电子政务、数字经济、智慧城市等，对推动国家信息化加速发展起到非常重要的作用。

近年来，为了加速数字化转型，该信息中心以“两地+四中心”方式新建数据中心网络，并严格划分内外网数据中心，为上千家单位提供互联网出口服务，建设信息中心整体网络安全防护与安全运营体系。与此同时，来自加密流量攻击的威胁，以及新旧品类安全设备的整体提效降本，成为最迫切的挑战。

为了解决这些问题，该信息中心通过和奇安信合作，由后者提供了以流量解密编排器（SSLO）为核心，兼顾安全性、流量可视、平滑割接、设备利旧的综合解决方案，完美解决了该信息中心的多重需求。

安全、效率、成本

如何三者兼得？

一

据介绍，该信息中心在数据中心建设中，主要面临了三个方面的挑战。

首先是来自加密流量的威胁，很多检测设备处于“半盲”状态。

众所周知，基于网络安全合规要求以及保障用户数据和系统安全实际需求，越来越多的网站使用加密技术保护数据传输安全，据谷歌统计，目前在互联网上使用HTTPS加密流量已经超过九成。而数字化程度越高的企业，加密流量占比往往越高。

奇安信在对信息中心进行风险分析过程中发现，中心内有超过60%的系统采用HTTPS访问，互联网出口流量有30%~40%是加密流量，并且这一比例还将不断增长。可以看出，通过SSL或TLS加密技术用于保护数据在网络中安全传输成为广泛共识，但是加密后的数据，却增加了威胁检测的难度，加密技术在保护用户数据的同时，也为黑客攻击提供了“隐蔽”通道，导致网络监控实际处于半盲状态。因此，黑客对加密网站的攻击将无法在网络侧进行监测，这是网络安全重要风险。

第二是新旧安全设备并存，性能被浪费，利用率偏低。

目前信息中心已经拥有多厂商、多型号的老旧安全产品，如果全部用新的安全产品替换，无疑会带来很大的成本压力。而且安全产品利用率低，当两台硬件设备做了HA之后，只有一台设备正常工作，等于另一台的性能被白白浪费。如何充分提升新旧安全设备的利用率，成为该信息中心的最紧迫课题。

第三是建设过程中设备割接频繁，严重影响业务连续性。

数据中心的建设过程是长期过程，而不是一蹴而就的。信息中心新建业务流量编排区域，未来会新增不同的安全产品，就会需要新设备的割接。然而网络割接可以被视为一项相对复杂且具有挑战性的任务，尤其是当涉及到数据中心的核心网络时。每个割接动作都必须极其谨慎，因为如果操作失败，可能会带来严重后果。因此，该信息中心希望减少新设备上线的割接时间，将对业务的影响降低到最低。

解密与编排一体

奇安信SSLO实现三大价值

二

为了解决以上三大问题，该数据中心在在核心交换机旁新增流量解密编排区，采用了奇安信SSLS流量解密编排器（SSLO）作为组网核心，该产品与其他安全设备组成解密与编排一体的解决方案，通过重构安全设备部署，构建硬件安全设备资源池，根据业务按需引流，SSL解密流量编排等技术手段，实现了集成SSL解密和按需引流的流量编排方案。

在具体实现上，两套解密编排器物理旁挂在信息中心核心交换机上，业务流量在核心交换机上通过策略路由引流方式，将所有业务流量都引流到解密编排器中。解密编排器再将引流流量发回核心交换机，组网方面实现了物理旁挂，三层路由引流方式接入网络，同时两套解密编排器配置HA主备模式，确保设备冗余。

通过解密与编排一体的解决方案，奇安信帮助该信息中心实现了三大价值。

首先是高效解密，一次解密多台设备使用，实现威胁检测无盲区。

数据中心将两套SSLO旁挂核心交换机，以及两套WAF与SSLO互联，通过核心交换机实现所有业务流量穿行SSLO，此时加密流量即可解密为明文并编排给WAF（Web应用防火墙）和天眼新一代威胁感知系统实现防护与检测，未来还可以给更多新安全设备提供明文流量。这种集中式SSL/TLS解密的方式，可以实现一次解密给多种设备使用，显著降低安全设备解密压力。配合精细化流量编排，精细到IP和协议的流量匹配，按需将指定流量给到指定安全设备。

凭借流量解密编排器强大的服务链编排能力，奇安信为信息中心规划设计了旁路链和串接链。旁路链是将所有解密后的流量以复制报文方式发送给天眼威胁分析平台，实现加密流量威胁检测；串接链是将识别的HTTP明文和HTTPS解密后流量通过服务链技术发送给WAF设备，WAF无需再次解密直接进行检测防护，过滤后送回给流量解密编排器，然后重新加密封装按照原路径进行发送。实现了一次解密多次使用的能力，大大提高处理效率，降低网络延时，并且提供了全栈的网络安全检测与防护能力。

在实战攻防演习期间，流量解密编排器与天眼、WAF协同联动，灵活将指定解密流量给多款旁路检测设备，实现深度检测。解决了以往威胁攻击隐藏在加密流量中安全设备无法检测过滤的问题，极大的增强了现网安全防护能能力，使加密流量中的威胁无处可藏，助力该信息中心防守队取得佳绩。

其次是硬件资源利用高，设备利旧更简单容易。

该解决方案通过多台安全设备构建安全资源池，提升设备利用率。安全资源池设备基于旁挂部署，不影响接入网络，并支持厂商异构，支持不同性能规格型号,支持带宽、权重等负载方式，方便实现设备利旧。并且，安全资源池设备互为备份，设备异常自动移除下线，流量负载至其余存活设备。

图安全资源池化部署

最后是简化安全运维，业务割接不断网。

新设备上下线不影响当前业务，出现异常会自动bypass，日常运维与割接随时处理，真正实现“零打扰”，运维利旧、扩展升级简单便利。据介绍，在故障排查或割接时，传统网络部署方式，往往可能需要断网，继而导致业务中断。该信息中心最新采用的三层旁路引流方式，由于会话保持在编排器上，被编排的网元可以通过配置实现bypass，之后所有业务流量流经编排器时，只是路由多一跳；当出现故障需要旁路掉流量解密编排器时，只需在核心交换机上通过简单操作，就可以将编排器进行旁路，整个过程对业务基本不造成影响，最大程度保证了业务的平稳进行。

END

《网安26号院》点评：

习近平总书记曾指出，“网络安全是共同的而不是孤立的”，如果脱离性能、效率、稳定性、可扩展性等因素谈安全，往往是片面的。奇安信集团为某信息中心量身定制的解密方案有效解决了加密流量中威胁问题，实现了全业务流量解密，通过解密编排器的流量编排方案，实现精细化防护，简化网络，提升安全设备利用率，降低运维压力，真正实现了“一箭三雕”。

作者：边界安全PBU 戎泽麟

本文刊登在2024年1月《网安26号院》