来自BCS2021的安全声音:奇安信边界安全栈新能力重磅发布

8月27日下午,在2021北京网络安全大会发布系列活动上,奇安信集团副总裁吴亚东为大家带来了边界安全栈新能力的发布,聚焦安全运营,重新定义边界安全新模式。

1630051937932314.png

当前,加密流量成为网络中主体流量,占据总体流量的90%左右。加密流量在提升用户数据安全保护水平的同时,也给政企组织带来了新的安全挑战,其中包括以下几个方面:

1630051947167644.png

挑战一:安全性问题

网络中大量攻击者开始利用加密流量来躲避安全检测,导致恶意行为能够得逞且不易被发现。例如,在攻防演练中,大量加密流量导致流量分析类产品、探针类产品出现流量盲区,从而无法有效、快速地识别出隐藏的安全风险。

挑战二:管理性问题

加密流量放大了政企组织对于网络监管的困难,导致需要监管的信息难以被有效识别,使得安全和监管成为对立面。

挑战三:投入产出比问题

政企组织为解决安全和管理问题,往往选择在边界部署大量安全设备进行防护,但是安全设备在开启流量解密以后平均性能下降80%左右,且传统串接方式会导致性能出现木桶短板效应。因此,政企组织被迫需要投入更多人力、物力来采购较高性能设备,才能保障短时间安全。另一方面,网络流量正在以年复合增长率39%的速度增长,采购周期缩短采购成本增加。

针对上述挑战,奇安信边界安全栈通过改变传统边界安全架构,重塑边界安全防护体系,为政企用户提供更加智能、动态的安全防护。

据介绍,对于加密流量,边界安全栈采用全新异步调用+硬件解密的方式,将解密性能(支持TLS1.3)提高至业内传统解密方式的10.6倍,以此来应对网络中日益增大的加密流量。

1630051960195733.png

同时,此次边界安全栈虚拟网元数量从5个增至11个,以满足客户日趋多样化的安全需求。边界安全栈新能力还增加了物理网元和虚拟网络的混合服务链编排,所有安全网元通过旁路部署方式,可将流量按照不同业务需求进行流量编排、引流和负载均衡,改变传统边界设备安全串接的模式,做到业务按需引流,设备上线下业务无感知。

边界安全栈混合服务链编排结合SSL高性能解密能力,可以将进入边界安全栈的加密流量先进行解密,然后按需给到不同的安全设备进行安全处理,所有安全设备只需要处理明文数据,大幅度提升设备处理性能。对于政企组织而言,一次解密多次按需安全处理的方式,能够极大降低政企组织人力、物力的投入,同时提升边界整体安全防护能力。

1630051972780253.png

边界安全栈此次发布的混合服务链编排以及SSL高性能解密能力,重新定义边界安全新模式,改变传统边界安全架构,重塑边界安全防护体系,能够为用户提供更加智能、动态的安全防护。

未来,边界安全栈还将推出“基于上下文的信息共享”、“基于安全的流量工程”,让安全设备真正实现信息共享、联合防御。对于具备多分支网络的政企组织而言,未来只需根据业务特点,按需拖拽安全能力来支撑业务,底层流量则会自动被引流到政企组织网络中的不同分支网络、不同物理位置的安全设备进行处理,充分调用各个分支网络中安全设备能力。