Application Delivery Controller Herculon SSL Orchestrator Management and Analytics DDoS Hybrid Defender Lightning ADS Thunder SSLi SSL Offload Bimodal IT NetScaler ECDHE-RSA Radware Citrix DevOps ECDHE 雙模IT ADC A10 RSA SHA ECC MAS F5

ADC加強SSL卸載 助雲端環境實踐自動化

2017-04-24
在資料中心的IT基礎架構中,部署於邊界防火牆後方、網頁應用系統前方,為存取服務提供負載平衡、應用加速、安全性等額外機制的應用遞送控制器(Application Delivery Controller,ADC),經過多年發展以來已頗成熟,各家業者幾乎都具備諸如SSL卸載(SSL Offload)、WAF、NAT64/DNS64、快取等常見的Layer 3到Layer 7控管功能。
以往僅在網路交易應用才需要的HTTPS加密傳輸機制,近兩年為了因應層出不窮的中間人攻擊、網路側錄竊聽等資安事件,如今即便各大搜尋引擎、社群媒體等不具高度機敏資料的網站,也預設提供HTTPS傳輸,使得SSL/TLS存取流量超越HTTP成為主流;再加上Apple於2016年WWDC年度大會上宣布,自2017年1月1日起,App Store上架的App,皆強制採用應用傳輸安全(App Transport Security,ATS)通訊技術,讓前端的App以HTTPS安全加密方式連線至後端應用系統。儘管在2016年12月21日,Apple於開發者官網上又發布延期App採用ATS的強制性要求,讓開發者得以有較長時間調整程式,但差別也只是早晚問題。

HTTPS加密傳輸已是大勢所趨,使得以往需求不高的SSL卸載功能,轉眼間成為現代網路及資安架構中不可或缺的機制。ADC技術供應商亦因應應用服務的變化,透過內嵌專屬SSL晶片、或是獨立設備,協助處理耗用資源的加解密封包,以免影響整體運行效能。

HTTPS流量遽增SSL卸載能力備受關注

就市場面來看,根據IDC資深市場分析師葉振男針對台灣ADC市場調查指出,總體規模若不含授權與維護合約,2016年ADC市場規模大約是1,324萬美元,較前年同期成長約4.2%;從統計數字可發現,如今ADC領域已是相當成熟的市場,若以技術供應商的銷售額來看,依序是F5、A10、Citrix NetScaler、Radware,其中F5多年來在台灣大多維持將近一半的市佔率。

▲ 數位化變革促使IT轉變為雙模IT(Bimodal IT),Mode 1以穩定性、可靠度、安全性為核心;Mode 2則為新型態DevOps,藉此快速回應市場需求。(圖片來源:Gartner 2015)

網頁應用系統可說是外部威脅(例如知名的跨網站指令碼攻擊、注入攻擊等手法)滲透入侵的重要管道。為此ADC廠商除了提升網頁應用傳輸效率,早已隨著用戶需求納入防範Layer 7攻擊的WAF功能,另外,針對近年來常見的殭屍網路、利用DNS服務發動大規模的DDoS攻擊,亦結合雲端流量清洗中心協助處理。葉振男觀察,尤其是為了因應SSL流量的增加,近來ADC業者幾乎一致強調可協助加解密封包的處理能力。例如A10 Thunder SSLi以及F5 Herculon SSL Orchestrator都設計為獨立型專用機;Citrix NetScaler與Radware則是在既有設備中嵌入SSL專屬晶片來實作。

「儘管過去ADC廠商大多已具備SSL相關功能,但由於企業需求量不大,在市場上較少被關注。如今隨著全球應用模式的轉變,SSL流量急遽增加,已佔總體網路流量七成以上,背後驅動力即在於行動化應用大量普及,而這也促使ADC業者一致強調SSL解決方案。」葉振男說。

目前應用服務系統主要採用的加密機制,Citrix大中華區網路技術經理何浩祥觀察,除了常見的RSA演算法基本為2048位元,由美國國家安全局設計的安全雜湊演算法(SHA),在日前Google宣布破解SHA-1之後,雜湊值長度變更採用256位元來強化。此外,在傳輸層安全協議中,前項安全通訊亦有橢圓曲線加密(ECC)的ECDHE演算法,256位元即可達到目前主流2048位元加密的強度,兩種不同的技術,皆可達到一致的效果,目前已得到Google、Facebook等網站的支持。

何浩祥進一步說明,改採用ECDHE的原因之一,即在於可大幅降低行動裝置耗用的運算資源。畢竟採用SSL加密,勢必將耗用終端設備運算資源進行加解密,若皆採用2048位元,恐造成過大負擔,若改以較短的位元數就能達到相同功效,即可避免終端設備因為運行加解密導致反應速度變慢的問題。

只是現階段ECDHE演算法會發生舊版本瀏覽器不提供支援的問題,因此又發展出ECDHE-RSA加密法,統稱為ECDHE Hybrid模式,也就是不論單純ECC加密模式或RSA,皆可正常運行。「Citrix NetScaler日前已跟進支援應用傳輸加密演算的改變,客戶無須更換硬體設備,只要升級韌體版本,即可讓混合模式演算法的效能提升8倍。」何浩祥說。

為DevOps建立自動化協作平台

隨著HTTP/2網頁傳輸協定在2015年正式成為標準,可大幅提升HTTPS遞送速度,前端瀏覽器包含Chrome、Firefox、Edge等,皆已預設啟用。HTTP/2可相容舊版HTTP 1.1協定,讓新舊用戶端皆可正常瀏覽,因此原本ADC配置的快取、壓縮、WAF等功能,在新版與舊版協議轉換的同時仍須持續提供服務。因此,ADC不僅納入支援,同時亦跟進網頁應用系統架構演化的腳步,提供了可運行於容器(Container)環境協助自動配置運算資源管理,讓ADC成為開發者與維運者的統一自動化平台,實踐DevOps團隊運行。

從日前F5所發布的2017年應用交付現狀調查報告來看,F5台灣暨香港區資深技術總監莊龍源指出,當前企業普遍面臨的挑戰,除了SSL加密流量使得資安機制無法發揮效用之外,為了因應日漸增多的雲端應用模式,在2016年時已有81%企業有意或已開始推動DevOps,如此一來,現有的IT基礎架構勢必須逐步實踐自動化、跨雲端平台執行環境,將底層網路轉型為SDN,由程式來執行資源的配置與調用。

何浩祥觀察,現階段應用系統或App遷移到雲端平台後,往往會出現不穩定的狀態,多數主因在於開發與上線時的基礎架構為兩種不同環境。對開發人員而言,雲端平台就如同資源池,只要程式碼撰寫完成後上傳即可運行,但前提是,應用系統在開發階段時就已經考慮到線上運行架構的環節,而非如同過去僅專注於功能性需求。

由此可以發現,營運業務基於網頁應用服務或App方式提供的企業,特別需要採行DevOps讓開發與維運一體化,若為傳統產業,則現階段需求程度較低。畢竟DevOps關鍵在於把App運行環境皆視為程式碼控管的一環,不僅是開發者,維運人員亦必須配合建置資源,甚至撰寫基本程式來協助,才得以實現自動化、一致性地配置控管措施。

現在各行業正投入研究數位轉型的方向,運用現代化雲端平台,打造敏捷式IT,建立高度靈活與彈性、自動化運作機制,以便於快速發布,如此一來,更須仰賴工具輔助,亦將成為ADC領域發展的新戰場。


追蹤我們Featrue us

本站使用cookie及相關技術分析來改善使用者體驗。瞭解更多

我知道了!