REFERENCE ARCHITECTURE

跨越网络拓扑构建 SSL Orchestrator 和 Palo Alto Networks 下一代防火墙

SSL/TLS 可视化挑战

客户端(电脑、平板电脑、手机等)和服务器之间传输转移的数据主要是通过安全套接层 (SSL) 或更现代、更安全的传输层安全 (TLS) 进行加密。(可参考 F5 Labs 的《2019 年 TLS 遥测报告汇总》)。如今得到广泛使用的加密技术意味着除非流量被解密,否则威胁将一直处于隐身状态,安全检查也无法使其现身。

不同的安全设备(如 Palo Alto Networks 下一代防火墙 (NGFW))对数据的解密和加密可能会增加开销和延迟。除了 SSL/TLS 的可视化难题和安全堆栈的碎片化性质之外,企业发现设计一款可长久使用的综合安全策略绝非易事。

该系统参考架构涵盖了跨网络拓扑构建 F5® SSL Orchestrator® 和 Palo Alto Networks 下一代防火墙 (NGFW) 的不同方式;同时还涉及可视化、隐私和法规遵守等难点。

SSL Orchestrator:对加密威胁获得可视化

F5 SSL Orchestrator 位于 IT 基础设施和互联网之间,创建了一个可供检查的解密区域。在解密区域内,Palo Alto Networks NGFW 等安全设备可以访问数据,以检测和缓解恶意软件等隐藏威胁。

F5 先进的 SSL/TLS 解密技术、强大的密码支持和灵活的架构可以帮助您优化资源的使用,消除延迟,并为安全检测基础设施增加弹性。由于所有通信都是通过 SSL Orchestrator 进行,因此它还可以作为一个战略控制点,可在此处执行解决操作风险(性能、可用性和安全性)的策略。

SSL Orchestrator 为入站(从互联网用户到 Web 应用)和出站(从企业用户到互联网)SSL/TLS 流量提供高性能解密。如图 1 所示,出站流量经过解密后,会发送到 Palo Alto Networks NGFW 进行检查和检测。


图 1:出站流量经过解密后发送到 Palo Alto Networks NGFW。

SSL Orchestrator 的架构组件

不同的环境需要不同的架构。SSL Orchestrator 提供了不同的外形尺寸,以满足不同的架构需求。

外形尺寸

容量选择

SSL Orchestrator iSeries 平台

高性能 SSL Orchestrator iSeries 硬件经过优化,可以提供 1 GB、5 GB、10 GB 和 20 GB 的解密吞吐量,是区域和中央企业站点的理想选择。

F5® BIG-IP® Virtual Edition

高性能 SSL Orchestrator Virtual Edition 可用于增强 SSL 解密架构,以纳入更小型的办公站点。

F5® VIPRION® 平台(机箱)

高端的 VIPRION 平台可以提供超过 100GB 的解密吞吐量,能够聚合和管理不断增加的网络流量。模块化设计和集群功能使 VIPRION 能够随着网络需求的变化而实现轻松扩展。

动态服务链

一个典型的安全堆栈通常由多个系统组成,如下 NGFW、入侵检测或防护系统 (IDS/IPS)、数据丢失预防和恶意软件分析工具。所有这些系统都需要访问解密数据才能进行检查。SSL Orchestrator 可以轻松与现有安全架构集成,并将 SSL/TLS 解密集中到安全堆栈中的多个检查设备。这种“一次解密,控制多个检测设备”的设计解决了若各单一安全设备都执行解密可能会出现的延迟、复杂性和风险问题。您还可以使用上下文引擎为不同的流量创建多个服务链。


图 2:一次解密,控制多个检测设备(使用动态服务链)。

SSL Orchestrator 的服务

SSL Orchestrator 系统中的服务被定义为相同的安全设备池。例如,Palo Alto 服务将包括一个或多个 Palo Alto Networks NGFW。默认情况下,SSL Orchestrator 会对服务中所有防火墙的流量进行负载均衡。

健康监控

SSL Orchestrator 可以提供各种监控程序,用于检查服务中安全设备的健康状况,并即时处理任何故障。例如,在 Palo Alto 服务中,如果一个 NGFW 发生故障,SSL Orchestrator 系统将自动把负载转移到启用的 NGFW。如果服务中的所有防火墙都发生故障,SSL Orchestrator 将旁路服务,以保持网络的连续性并最大限度地延长正常运行时间。

流量分类的上下文引擎

SSL Orchestrator 的上下文引擎能够提供根据使用分类标准、URL 类别、IP 信誉和流量信息做出的策略决策来智能引导流量。您还可以使用上下文引擎将解密旁路至应用和网站(如金融、政府服务、医疗保健和其他类似的应用和网站),以实现法律或隐私目的。


图 3:提供服务链和基于策略的流量引导的上下文引擎。

高可用性

SSL Orchestrator 支持启用-待机 HA 架构:一个系统主动处理流量,而另一个系统在需要使用前一直保持待机模式。这种做法的目的是减少任何停机时间,消除单点故障。配置和用户连接信息会在系统之间自动同步。

旁路保护

SSL Orchestrator 可与旁路开关集成,提供故障到连线的保护。如果 SSL Orchestrator 系统断电,流量将会转向旁路,而不会危及网络性能。

部署拓扑

SSL Orchestrator 以第 2 层或第 3 层模式进行内联部署,可以配置为显式前向代理、透明前向代理或反向代理。在与 Palo Alto Network NGFW 集成时,SSL Orchestrator 可以通过内联 L2、内联 L3 或只接收 TAP 模式进行连接,引导解密流量(如图 4 所示)。


图 4:SSL Orchestrator 支持的 Palo Alto Networks NGFW 部署拓扑。

参考架构图

图 5 显示了 SSL Orchestrator 如何集成到企业架构中,以对整个检测基础设施的入站和出站流量进行集中解密。


图 5:将 SSL 编排集成到企业网络架构中。


图 6:端口冗余的链路聚合。

总结

SSL 及其继任者 TLS 正变得越来越普遍,以确保互联网上 IP 通信的安全。这种情况可谓利弊相当。好的一面是,此类技术会混淆所有通信以防盗用。但不利的一面则是,攻击者由此可以将恶意软件隐藏在加密的通信中。只要有加密流量传输,那么安全系统就无法予以拦截。而这就破坏了整个分层安全功能的深度防御策略。

SSL Orchestrator 结合 Palo Alto Networks NGFW 等先进的威胁防护系统时,可以解决这些 SSL/TLS 难题,方法便是将解密集中于企业边界内。它可以编排通过整个安全堆栈的解密流量,从而进行检查,以识别和阻止零日漏洞利用。因此,该解决方案可以让您最大限度地利用现有的安全服务投资,用于恶意软件保护和下一代防火墙。

关于 F5

F5 (NASDAQ: FFIV) 为全球大型企业、服务运营商、政府和消费者品牌提供服务,让全球任意地点的客户可以安心提供所有应用服务,确保安全无虞。F5 可以提供云和安全应用服务,使企业能够在保持速度和管控的情况下,充分利用自己选择的基础设施。如需了解更多信息,请访问 f5.com。您还可以在 Twitter 上关注 @f5networks,或在 LinkedInFacebook 访问我们的主页,了解有关 F5、合作伙伴和技术的详细信息。

Published June 04, 2020
  • Share to Facebook
  • Share to Twitter
  • Share to Linkedin
  • Share to email
  • Share via AddThis