写点什么

QUIC 在零信任解决方案的落地实践

作者:权说安全
  • 2023-12-18
    江苏
  • 本文字数:1710 字

    阅读完需:约 6 分钟

QUIC在零信任解决方案的落地实践

前言


ZTNA 为以“网络为中心”的传统企业体系架构向以“身份为中心”的新型企业安全体系架构转变,提供解决方案。随着传统网络边界不断弱化,企业 SaaS 规模化日益增多,给终端安全访问接入创造了多元化的空间。其中 BYOD 办公方式尤为突出,移动化办公确实为个人提升了效率,为组织节省了成本;但是给业务系统的安全接入,业务处理及时响应上带来了成本和挑战。需要我们思考是否引入非传统的技术点来解决用户需求侧的痛点,同时保障整体方案的稳定性和可实践性。


ZTNA 实施过程中遇到了哪些问题


移动化办公场景下,特别在高铁,地下停车场等基站变更频繁或弱网等场景下,传统 TCP 应用接入模式下,会导致基于 TCP 创建的零信任通道在不断地中断,重新建链;导致业务访问无法做到及时响应,体验性很差。

ZTNA 解决方案上特别提到了单包授权;而单包授权虽然解决了防火墙端口必须要默认打开的弊端;需要先敲门后授权,减少业务系统的网络攻击面。但是单包授权在应用过程中,还是存在需要改进的点:

● 单包授权模式下,业务报文往往都会伴随着有敲门报文;UDP 敲门报文必须要鉴权成功,打开相应业务端口,业务报文才能具备有效性。往往实际落地过程中,由于中间转发设备多路径,以及 QoS 等问题,首个 SYN 包握手大概率失败,增加了访问时延。

● 同时传统单包敲门还有一个问题,就是无法解决 nat 网络场景,导致敲门放大问题。带来了网络不确定性。而传统模型下,只能借助缩小敲门有效时间来应对。

如何来解决上述问题,提升 ZTNA 解决方案的稳定性?我们最终选用 QUIC 协议来保障。


QUIC 是什么


QUIC(Quick UDP Internet Connection)最开始是由 Google 提出的一个基于 UDP 的传输协议,为了解决传统 tcp 协议固 有的性能瓶颈,它是下一代互联网协议 HTTP/3 的底层传输协议。除了应用于 Web 领域,它同样适用于一些通用的需要低延迟、高吞吐特性的传输场景。IETF 推进其标准化工作,2021 年,QUIC 协议的正式标准化版本 RFC9000 发布。


选型 QUIC 的优势体现点


1. 握手建链相比较传统 TCP 更快

QUIC 建链时间大约 0~1 RTT,其在两方面做了优化:

● 传输层使用了 UDP,相比 TCP 需要三次握手,减少了 1 个 RTT 延迟。

● QUIC 底层使用 tls1.3 进行加密通信,相比 tls1.1 和 tls1.2, 通过 ClientHello 和 ServerHello 的扩展进行密钥交换,省去了 1.2 版本中 KeyExchange 的过程,又省去了一次握手。

2. 支持连接迁移

相比传统的 TCP 使用 5 元组来区别一个连接,QUIC 在握手阶段随机生成 connection id,不在通过五元组来区分,这样当网络发生改变导致五元组发生变化后,依旧可以通过握手阶段的 connection id 关联连接。

3. 可插拔的拥塞控制

QUIC 在应用层协议实现了 Cubic、BBR、Reno 等拥塞控制算法,用户可以根据不同的网络场景选择合适的拥塞控制算法,也可以自己实现私有的拥塞控制算法。

4. 避免队首阻塞的多路复用

QUIC 一个连接支持多个 stream,stream 之间相互独立,一个 stream 丢了一个 packet,并不影响其他 stream。

5. 解决弱网场景

●  tcp 重传报文导致 rtt 无法准确计算。

●  tcp 拥塞控制在丢包场景会进行退让,导致发生窗口减少,但丢包有可能是网络状况差,不一定是发生拥塞。


QUIC 落地 ZTNA 场景下实践效果


1. 确认通道稳定性明显提升





从上图表面,当网络发生切换后,零信任通道还是可以正常使用,不需要重新连接。

2. 确认访问速度显著提升



QUIC 落地 ZTNA 场景下实践效果


1. 相比较 TCP 服务侧处理 CPU 偏高

相比于 TCP 的 ack 是在内核处理,QUIC 的 ack 报文需要从内核提到用户态处理,增加了额外的用户态内核态切换和数据拷贝,并且 QUIC 的 ack 报文也是加密的,增加了 tls 加解密,所以 cpu 负载更高。

2. 运营商 UDP 流量限速

由于 UDP 无连接,中间设备无法进行连接跟踪,当中间网络带宽瓶颈时,TCP 有拥塞控制主动让出带宽,而 UDP 没有拥塞控制,运营商中间设备会对 UDP 报文 QoS 限速丢包。


总结


技术本身均有其优势和劣势,这个都是技术选型横向比较中确实存在的。技术的落地关键点还是要来源于结合落地场景的分析,什么样的场景或者需求驱动力下,采用哪种技术会更加稳妥。例如在局域网办公场景下,网络环境趋于稳定,选择 QUIC 驱动力则不强,可以选用传统 TCP 进行应用访问建链即可。而我们整体 ZTNA 解决方案中,均具备灵活可配置,让用户在技术落地和用户场景上找到最优解。

用户头像

权说安全

关注

专注零信任、网络安全 2022-04-28 加入

公众号【江苏易安联】【易安联安全云】

评论

发布
暂无评论
QUIC在零信任解决方案的落地实践_权说安全_InfoQ写作社区