民生银行-网络智能流量编排探索.doc

? ? ? ? ? ? ? ? 民生银行-网络智能流量编排探索 ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? 一、背景 近几年，随着5G、物联网、人工智能、大数据等新技术的兴起，金融行业应用也在进行深刻的数字化转型，同时虚拟化、云、容器等技术的大力发展和推广，促使金融业网络架构向软件定义、自动化、弹性扩展方向发展。伴随着新技术、新业务的发展，新的安全威胁不断涌现，来自外部和内部的信息安全风险不断增加，对金融系统的安全性提出了更高的要求。基于此金融同业正在积极推动以应用为中心构建零信任架构，增强对个性化的安全防护，借助AI、大数据分析以及全面的安全生态体系，简化复杂的传统的安全模型，加速传统安全架构转型。 为了应对日益严重的IT风险，构建零信任架构，各种监测、防御、扫描、分析等安全产品相继添加进入生产网络，与现有传统的防火墙等安全产品一起形成纵深防御的网络安全体系。另外，受疫情的影响，金融服务模式线上化程度越来越高，基于SSL、国密等加密模式的远程银行、移动办公、在线学习、远程运维等业务迅猛发展，互联网流量出现了成倍甚至数倍的增长，给金融行业互联网生产网络和安全平台带来巨大压力。 由于现有安全工具部署与网络架构紧耦合，导致安全工具部署很难进行弹性、无缝和平滑地扩缩容和有效利用，面对不断增加的安全工具部署需求及流量爆炸式增长带来的安全监控挑战，现有部署架构已不能满足和适应新增工具部署需求，如何打破现有架构的约束，为安全监控提供更多弹性和灵活性，满足个性化、差异化、全面可视的安全监控和检测需求成为了互联网网络运维需要重点思考的问题。本文从互联网架构转型入手，以期通过网络智能流量编排解决上述问题。 二、传统互联网区架构 图-1：典型的金融互联网架构图 如上图所示，金融行业互联网网络同城一般采用双中心接入架构，网络区域上由互联网接入区、互联网前置区、互联网后台区组成。 互联网接入区 对外对接公网互联网，主要实现与公网互联网专线互联，并实现公网与内网地址的转换功能。互联网接入区基于不同的业务功能一般分为办公互联网业务专线接入及生产互联网业务专线接入。 互联网前置区 主要部署互联网应用前置服务器，并通过网络实现前置入访和出访的负载均衡及加解密功能。互联网前置区通常会基于不同的业务功能或为满足监管隔离要求采用横向扩展的方式分为办公互联网前置区、生产互联网前置区、电商互联网前置区、海外数据中心前置区、托管云前置区、子公司互联网前置区等。 互联网后台区 主要部署互联网应用及数据库服务器，对外对接互联网前置区，对内对接后台其它业务区域。 基于业务访问需求，互联网前置需要直接对互联网暴露服务提供给不同渠道的用户访问，是安全防御的重中之重。为有效阻断来自互联网的DDOS、扫描、CC、渗透、病毒等安全攻击，有效保护前置和内网安全，通常会在互联网接入区和前置区串接或旁路部署各类安全设备，如抗DDos、应用层防火墙、IDS/IPS、APT、防病毒墙、WebSense网关、SSL加解密、WAF等，搭建相应的监测和安全可视化平台，结合传统的防火墙等构建串接+旁路的纵深防御安全体系。 图-2：互联网区纵深防御网络安全串接和旁路架构示意图 如上图所示，安全设备通常参照网络防火墙和负载均衡等四七层设备部署模式进行部署，为确保业务流量按既定路径进行转发，同时基于架构的可靠性和冗余考虑，业务流量通常只由主设备来负责处理，其它设备为热备。当新增区域时，安全设备参照现有区域部署模式进行横向扩展。 三、传统架构存在的问题 数据报文在网络中传递时，往往需要经过各种各样的业务节点，才能保证网络能够按照设计要求，提供给用户安全、快速、稳定的网络服务。网络流量需要按照业务逻辑所要求的既定顺序穿越这些业务点，才能实现所需要的安全检测服务。传统安全架构以网络为中心，基于物理拓扑，通过手工配置多种策略，安全设备采用串接模式接入，这种“糖葫芦串”式的安全架构看起来结构清晰、部署简单、扩展方便，但牺牲了架构灵活性，存在诸多问题，特别是无法适应新安全需求，一定程度上严重束缚了以应用为中心、个性化、主动式等的安全防护需求。总体来看，传统的基于“糖葫芦串”式的安全架构存在如下问题和不足： 图-3：传统“糖葫芦串”式的安全架构示意图 安全架构与网络架构紧耦合 安全工具的部署严重依赖现有网络拓扑，新业务上线、扩容或业务发生变更时，需要手工调整整个转发路径下工具的策略，牵一发而动全身，无法满足业务快速迭代、变更的需求，无法为不同业务提供统一的差异化、个性化的安全策略。 解密层过于靠后，效率低 加解密功能由前置区服务器负载均衡提供，相对靠后，IPS、防病毒网关等均需要自身提供加解密功能才能进行七层检测和防御，一方面增加了安全设备的负担，另一方面多次的加解密导致业务