來自BCS2021的安全聲音：奇安信邊界安全棧新能力重磅發(fā)布

8月27日下午，在2021北京網(wǎng)絡(luò)安全大會發(fā)布系列活動上，奇安信集團副總裁吳亞東為大家?guī)�來了邊界安全棧新能力的發(fā)布，聚焦安全運營，重新定義邊界安全新模式。

當前，加密流量成為網(wǎng)絡(luò)中主體流量，占據(jù)總體流量的90%左右。加密流量在提升用戶數(shù)據(jù)安全保護水平的同時，也給政企組織帶來了新的安全挑戰(zhàn)，其中包括以下幾個方面：

挑戰(zhàn)一：安全性問題

網(wǎng)絡(luò)中大量攻擊者開始利用加密流量來躲避安全檢測，導(dǎo)致惡意行為能夠得逞且不易被發(fā)現(xiàn)。例如，在攻防演練中，大量加密流量導(dǎo)致流量分析類產(chǎn)品、探針類產(chǎn)品出現(xiàn)流量盲區(qū)，從而無法有效、快速地識別出隱藏的安全風險。

挑戰(zhàn)二：管理性問題

加密流量放大了政企組織對于網(wǎng)絡(luò)監(jiān)管的困難，導(dǎo)致需要監(jiān)管的信息難以被有效識別，使得安全和監(jiān)管成為對立面。

挑戰(zhàn)三：投入產(chǎn)出比問題

政企組織為解決安全和管理問題，往往選擇在邊界部署大量安全設(shè)備進行防護，但是安全設(shè)備在開啟流量解密以后平均性能下降80%左右，且傳統(tǒng)串接方式會導(dǎo)致性能出現(xiàn)木桶短板效應(yīng)。因此，政企組織被迫需要投入更多人力、物力來采購較高性能設(shè)備，才能保障短時間安全。另一方面，網(wǎng)絡(luò)流量正在以年復(fù)合增長率39%的速度增長，采購周期縮短采購成本增加。

針對上述挑戰(zhàn)，奇安信邊界安全棧通過改變傳統(tǒng)邊界安全架構(gòu)，重塑邊界安全防護體系，為政企用戶提供更加智能、動態(tài)的安全防護。

據(jù)介紹，對于加密流量，邊界安全棧采用全新異步調(diào)用+硬件解密的方式，將解密性能（支持TLS1.3）提高至業(yè)內(nèi)傳統(tǒng)解密方式的10.6倍，以此來應(yīng)對網(wǎng)絡(luò)中日益增大的加密流量。

同時，此次邊界安全棧虛擬網(wǎng)元數(shù)量從5個增至11個，以滿足客戶日趨多樣化的安全需求。邊界安全棧新能力還增加了物理網(wǎng)元和虛擬網(wǎng)絡(luò)的混合服務(wù)鏈編排，所有安全網(wǎng)元通過旁路部署方式，可將流量按照不同業(yè)務(wù)需求進行流量編排、引流和負載均衡，改變傳統(tǒng)邊界設(shè)備安全串接的模式，做到業(yè)務(wù)按需引流，設(shè)備上線下業(yè)務(wù)無感知。

邊界安全�；旌戏�務(wù)鏈編排結(jié)合SSL高性能解密能力，可以將進入邊界安全棧的加密流量先進行解密，然后按需給到不同的安全設(shè)備進行安全處理，所有安全設(shè)備只需要處理明文數(shù)據(jù)，大幅度提升設(shè)備處理性能。對于政企組織而言，一次解密多次按需安全處理的方式，能夠極大降低政企組織人力、物力的投入，同時提升邊界整體安全防護能力。

邊界安全棧此次發(fā)布的混合服務(wù)鏈編排以及SSL高性能解密能力，重新定義邊界安全新模式，改變傳統(tǒng)邊界安全架構(gòu)，重塑邊界安全防護體系，能夠為用戶提供更加智能、動態(tài)的安全防護。

未來，邊界安全棧還將推出“基于上下文的信息共享”、“基于安全的流量工程”，讓安全設(shè)備真正實現(xiàn)信息共享、聯(lián)合防御。對于具備多分支網(wǎng)絡(luò)的政企組織而言，未來只需根據(jù)業(yè)務(wù)特點，按需拖拽安全能力來支撐業(yè)務(wù)，底層流量則會自動被引流到政企組織網(wǎng)絡(luò)中的不同分支網(wǎng)絡(luò)、不同物理位置的安全設(shè)備進行處理，充分調(diào)用各個分支網(wǎng)絡(luò)中安全設(shè)備能力。