奇安信发布流量解密编排器，解密能力提升 10 倍以上

9 月 13 日，奇安信集团董事长齐向东宣布，奇安信正式发布国内首款流量解密编排器。据悉，该产品具有高性能解密、一次解密多次检测、智能策略引流、安全能力资源池化等优势，旨在解决用户面临的加密攻击威胁，以及对弹性部署架构和动态扩容能力的需求。

齐向东表示，为了避免数据在流转过程中被中断、截获、篡改和伪造，利用加密流量进行数据传输已经成为主流。Google 的报告显示，当前互联网加密流量超过 90%。据估计，企业内部至少 80%采用加密流量传输，这些数字仍会保持快速增长。

然而，加密技术目前正在被恶意者广泛利用，成为了黑客攻击的重要手段，甚至成为当前网络空间的最大威胁之一。Gartner 统计，在 2020 年就有超过 70%的网络攻击使用加密流量。根据 ESG 机构的调研报告显示，超过 95%的企业明确表示遭遇过由于加密流量引起的安全事件。从今年国家举行的实战攻防演习来看，有超过半数攻击手段都利用加密流量。保守估计，因加密流量攻击造成的全球损失或达万亿美元。

但是，传统的安全架构部署方式往往是安全设备依次串接，最终形成类似“糖葫芦串”的安全架构，从日益严峻的流量加密攻击形式下，这种架构的弊端显而易见，主要表现在：

• 单点故障多。在串接部署模式下，任何一组安全设备发生故障都会有可能引起全网故障，影响客户业务，损失难以承受。

• 延迟高。传统部署架构下，安全设备没办法根据流量业务类型进行灵活分配，只能让所有安全设备承担所有流量、执行所有加解密过程，相当于每个设备把所有工作都做一遍，导致业务延迟高。

• 性能下降明显。根据 NSS 实验室的一项测试结果显示，很少有安全设备能够在不严重影响网络性能的情况下检查加密数据。平均而言，深度包检测的性能损失为 60%，连接率平均下降了 92%，响应时间则增加了高达 672%。

• 横向扩展困难。当业务需要扩容时，传统串接模式就必须要进行设备替换，原有旧设备无法进行复用，导致企业投入增加。

• 升级维护困难。当升级软件、新增设备时，企业需要做整体调整，升级维护成本大，这个过程中很容易出现断网，增加了业务中断风险。

“不做解密的安全分析，就如同盲人摸象！”奇安信集团副总裁、首席架构师兼边界安全 BG 负责人吴亚东说道。

奇安信发布的流量解密编排器则首先采取了软硬结合的高性能 SSL 解密，解密能力显著提升。吴亚东表示，纯软件形式的安全产品，SSL 加解密能力普遍较低，极易出现性能不足、检测不全的问题。奇安信通过搭载硬件加速卡，并配合自研的异步调用技术，理论上可以将 SSL 解密性能提升 10 倍以上。

其次，奇安信创造智能化服务链编排技术，能够将明文报文分发至服务链上的各个安全设备，从而实现“一台设备成功解密，多台设备成果共享”，极大降低网络负载和资源消耗，大幅提升了加解密效率。

再者，流量解密编排器能把不同类型的数据流量进行分类和引流，并提供了丰富的匹配条件，包括源 IP、目的 IP、服务、VLAN、应用、域名、URL 等，让特定的流量穿过不同的安全工具进行检查，实现精细化编排引流，节省资源并显著提升效率。

最后，奇安信通过重构安全设备的传统部署架构，让整个安全设备的部署架构更有弹性，具备动态扩容的能力。安全资源池能兼容各个厂商的安全设备、支持多样化专业的安全组件、实现安全能力快速扩展，还能依靠探测机制保障业务连续性，从而降低业务中断风险和总体维护成本。

据悉，该流量解密编排器是去年在冬奥上线的，并经过了冬奥场景的检验。根据奇安信集团冬奥保障总架构师尹智清介绍，在互联网出口上，奇安信用流量解密编排器加上相应的安全设备做相应的引流以及解密；对于关键应用，无论是物理机房还是云上，都是利用流量编排器做解密和流量编排。