QUIC 在零信任解决方案的落地实践

一

前言

ZTNA 为以“网络为中心”的传统企业体系架构向以“身份为中心”的新型企业安全体系架构转变，提供解决方案。随着传统网络边界不断弱化，企业 SaaS 规模化日益增多，给终端安全访问接入创造了多元化的空间。其中 BYOD 办公方式尤为突出，移动化办公确实为个人提升了效率，为组织节省了成本；但是给业务系统的安全接入，业务处理及时响应上带来了成本和挑战。需要我们思考是否引入非传统的技术点来解决用户需求侧的痛点，同时保障整体方案的稳定性和可实践性。

二

ZTNA 实施过程中遇到了哪些问题

移动化办公场景下，特别在高铁，地下停车场等基站变更频繁或弱网等场景下，传统 TCP 应用接入模式下，会导致基于 TCP 创建的零信任通道在不断地中断，重新建链；导致业务访问无法做到及时响应，体验性很差。

ZTNA 解决方案上特别提到了单包授权；而单包授权虽然解决了防火墙端口必须要默认打开的弊端；需要先敲门后授权，减少业务系统的网络攻击面。但是单包授权在应用过程中，还是存在需要改进的点：

● 单包授权模式下，业务报文往往都会伴随着有敲门报文；UDP 敲门报文必须要鉴权成功，打开相应业务端口，业务报文才能具备有效性。往往实际落地过程中，由于中间转发设备多路径，以及 QoS 等问题，首个 SYN 包握手大概率失败，增加了访问时延。

● 同时传统单包敲门还有一个问题，就是无法解决 nat 网络场景，导致敲门放大问题。带来了网络不确定性。而传统模型下，只能借助缩小敲门有效时间来应对。

如何来解决上述问题，提升 ZTNA 解决方案的稳定性？我们最终选用 QUIC 协议来保障。

三

QUIC 是什么

QUIC(Quick UDP Internet Connection)最开始是由 Google 提出的一个基于 UDP 的传输协议，为了解决传统 tcp 协议固 有的性能瓶颈，它是下一代互联网协议 HTTP/3 的底层传输协议。除了应用于 Web 领域，它同样适用于一些通用的需要低延迟、高吞吐特性的传输场景。IETF 推进其标准化工作，2021 年，QUIC 协议的正式标准化版本 RFC9000 发布。

四

选型 QUIC 的优势体现点

1. 握手建链相比较传统 TCP 更快

QUIC 建链时间大约 0~1 RTT，其在两方面做了优化：

● 传输层使用了 UDP，相比 TCP 需要三次握手，减少了 1 个 RTT 延迟。

● QUIC 底层使用 tls1.3 进行加密通信，相比 tls1.1 和 tls1.2， 通过 ClientHello 和 ServerHello 的扩展进行密钥交换，省去了 1.2 版本中 KeyExchange 的过程，又省去了一次握手。

2. 支持连接迁移

相比传统的 TCP 使用 5 元组来区别一个连接，QUIC 在握手阶段随机生成 connection id，不在通过五元组来区分，这样当网络发生改变导致五元组发生变化后，依旧可以通过握手阶段的 connection id 关联连接。

3. 可插拔的拥塞控制

QUIC 在应用层协议实现了 Cubic、BBR、Reno 等拥塞控制算法，用户可以根据不同的网络场景选择合适的拥塞控制算法，也可以自己实现私有的拥塞控制算法。

4. 避免队首阻塞的多路复用

QUIC 一个连接支持多个 stream，stream 之间相互独立，一个 stream 丢了一个 packet，并不影响其他 stream。

5. 解决弱网场景

●  tcp 重传报文导致 rtt 无法准确计算。

●  tcp 拥塞控制在丢包场景会进行退让，导致发生窗口减少，但丢包有可能是网络状况差，不一定是发生拥塞。

五

QUIC 落地 ZTNA 场景下实践效果

1. 确认通道稳定性明显提升

从上图表面，当网络发生切换后，零信任通道还是可以正常使用，不需要重新连接。

2. 确认访问速度显著提升

六

QUIC 落地 ZTNA 场景下实践效果

1. 相比较 TCP 服务侧处理 CPU 偏高

相比于 TCP 的 ack 是在内核处理，QUIC 的 ack 报文需要从内核提到用户态处理，增加了额外的用户态内核态切换和数据拷贝，并且 QUIC 的 ack 报文也是加密的，增加了 tls 加解密，所以 cpu 负载更高。

2. 运营商 UDP 流量限速

由于 UDP 无连接，中间设备无法进行连接跟踪，当中间网络带宽瓶颈时，TCP 有拥塞控制主动让出带宽，而 UDP 没有拥塞控制，运营商中间设备会对 UDP 报文 QoS 限速丢包。

七

总结

技术本身均有其优势和劣势，这个都是技术选型横向比较中确实存在的。技术的落地关键点还是要来源于结合落地场景的分析，什么样的场景或者需求驱动力下，采用哪种技术会更加稳妥。例如在局域网办公场景下，网络环境趋于稳定，选择 QUIC 驱动力则不强，可以选用传统 TCP 进行应用访问建链即可。而我们整体 ZTNA 解决方案中，均具备灵活可配置，让用户在技术落地和用户场景上找到最优解。