来自BCS2021的安全声音：奇安信边界安全栈新能力重磅发布

8月27日下午，在2021北京网络安全大会发布系列活动上，奇安信集团副总裁吴亚东为大家带来了边界安全栈新能力的发布，聚焦安全运营，重新定义边界安全新模式。

当前，加密流量成为网络中主体流量，占据总体流量的90%左右。加密流量在提升用户数据安全保护水平的同时，也给政企组织带来了新的安全挑战，其中包括以下几个方面：

挑战一：安全性问题

网络中大量攻击者开始利用加密流量来躲避安全检测，导致恶意行为能够得逞且不易被发现。例如，在攻防演练中，大量加密流量导致流量分析类产品、探针类产品出现流量盲区，从而无法有效、快速地识别出隐藏的安全风险。

挑战二：管理性问题

加密流量放大了政企组织对于网络监管的困难，导致需要监管的信息难以被有效识别，使得安全和监管成为对立面。

挑战三：投入产出比问题

政企组织为解决安全和管理问题，往往选择在边界部署大量安全设备进行防护，但是安全设备在开启流量解密以后平均性能下降80%左右，且传统串接方式会导致性能出现木桶短板效应。因此，政企组织被迫需要投入更多人力、物力来采购较高性能设备，才能保障短时间安全。另一方面，网络流量正在以年复合增长率39%的速度增长，采购周期缩短采购成本增加。

针对上述挑战，奇安信边界安全栈通过改变传统边界安全架构，重塑边界安全防护体系，为政企用户提供更加智能、动态的安全防护。

据介绍，对于加密流量，边界安全栈采用全新异步调用+硬件解密的方式，将解密性能（支持TLS1.3）提高至业内传统解密方式的10.6倍，以此来应对网络中日益增大的加密流量。

同时，此次边界安全栈虚拟网元数量从5个增至11个，以满足客户日趋多样化的安全需求。边界安全栈新能力还增加了物理网元和虚拟网络的混合服务链编排，所有安全网元通过旁路部署方式，可将流量按照不同业务需求进行流量编排、引流和负载均衡，改变传统边界设备安全串接的模式，做到业务按需引流，设备上线下业务无感知。

边界安全栈混合服务链编排结合SSL高性能解密能力，可以将进入边界安全栈的加密流量先进行解密，然后按需给到不同的安全设备进行安全处理，所有安全设备只需要处理明文数据，大幅度提升设备处理性能。对于政企组织而言，一次解密多次按需安全处理的方式，能够极大降低政企组织人力、物力的投入，同时提升边界整体安全防护能力。

边界安全栈此次发布的混合服务链编排以及SSL高性能解密能力，重新定义边界安全新模式，改变传统边界安全架构，重塑边界安全防护体系，能够为用户提供更加智能、动态的安全防护。

未来，边界安全栈还将推出“基于上下文的信息共享”、“基于安全的流量工程”，让安全设备真正实现信息共享、联合防御。对于具备多分支网络的政企组织而言，未来只需根据业务特点，按需拖拽安全能力来支撑业务，底层流量则会自动被引流到政企组织网络中的不同分支网络、不同物理位置的安全设备进行处理，充分调用各个分支网络中安全设备能力。