Perfect-Forward-Secrecy und flexible Verschlüsselung
Das TLS-Protokoll verfügt über eine passive Überwachungsgegenmaßnahme, die als PFS (Perfect-Forward-Secrecy) bezeichnet wird und einen zusätzlichen Austausch zum Schlüsselaufbau-Protokoll zwischen den beiden Seiten der verschlüsselten Verbindung ermöglicht. Durch die Generierung eines eindeutigen Sitzungsschlüssels für jede vom Benutzer initiierte Sitzung garantiert PFS, dass ein Angreifer nicht einfach einen einzigen Schlüssel wiederherstellen und Millionen zuvor aufgezeichneter Gespräche entschlüsseln kann.
Da PFS de facto zum Standard wird und dies die einzige mögliche Methode innerhalb von TLS 1.3 darstellt, müssen Sie einen Plan für alle passiven Prüfungslösungen, die den eingehenden Datenverkehr analysieren, erstellen. Früher haben Sie den RSA-Schlüssel mit jeder dieser Lösungen geteilt. Dies ist jedoch nicht möglich, wenn PFS für jede Sitzung einen eindeutigen Schlüssel generiert. Der F5 SSL Orchestrator kann entweder Klartext-Datenverkehr entschlüsseln und an Prüfungslösungen weiterleiten oder den Datenverkehr unter Verwendung von TLS 1.2 mit RSA entschlüsseln und wieder verschlüsseln. Bei der zweiten Option erfolgt die Entschlüsselung zwar wieder durch die Prüfungslösungen, die Lösungen müssten aber nicht mit dem Datenverkehr mithalten und würden daher weder die Latenzzeit erhöhen, noch würden Klartextdaten innerhalb Ihres Rechenzentrums übertragen werden.
Bei der Verschlüsselung auf Basis von elliptischen Kurven, die bei der Implementierung von PFS obligatorisch ist, wurden noch keine Schwachstellen gefunden. Wie wir jedoch alle wissen, wird das, was heute sicher ist, nicht für immer sicher bleiben. Die Sicherheitsforschung und die Hacking-Tools entwickeln sich weiter, ebenso wie die Rechenleistung – und das wird unweigerlich dazu beitragen, eine Schwachstelle aufzudecken. Eine zentrale Kontrollstelle für alle Entschlüsselungs- und Verschlüsselungsvorgänge zu haben, macht es einfacher, Chiffren anzupassen, wenn diese veraltet sind.
SSL/TLS-TRANSPARENZ REICHT NICHT AUS – KONTROLLE DURCH ORCHESTRIERUNG IST DER SCHLÜSSEL
Die Möglichkeit zu haben, in die Pakete hineinzusehen, die in Ihre Anwendungen gelangen oder aus Ihrem Netzwerk austreten, ist ein großer Schritt. Es ist jedoch nur der erste Schritt. Der Gebrauch von manueller Verkettung oder Konfiguration zur Verwaltung der Entschlüsselung bzw. Verschlüsselung über den gesamten Sicherheitsstapel hinweg ist mühsam, und wir alle wissen, dass jede Richtlinie, die Vorschriften auf eine bestimmte Art und Weise festlegt, immer mit einer Ausnahme einhergeht. Der F5 SSL Orchestrator bietet Transparenz in großem Maßstab, es ist jedoch die Orchestrierung, die diese Lösung wirklich von anderen Produkten abhebt.
Die Orchestrierung bietet eine richtlinienbasierte Datenverkehrssteuerung für eine Servicekette, die auf Risiken und dynamischen Netzwerkbedingungen basiert. Da der SSL Orchestrator ein Vollproxy für SSL/TLS und HTTP ist, kann er intelligente Entscheidungen treffen, um ein- und ausgehenden Datenverkehr zu Serviceketten innerhalb des Sicherheitsstapels zu leiten. Auch wenn es sich bei dem Großteil Ihres Datenverkehrs wahrscheinlich um HTTPS handelt, können Sie mit dem SSL Orchestrator die Entschlüsselung und erneute Verschlüsselung von anderen Datenverkehrsarten wie STARTTLS innerhalb von FTP, IMAP, POP3 und ICAP intelligent verwalten. Kein anderes Produkt kann all das leisten, weshalb keine andere SSL/TLS-Lösung einen umfassenderen Schutz für Ihre Anwendungen und Ihr Netzwerk bietet.
Sprechen Sie mit einem F5-Sicherheitsexperten
Haben Sie eine Sicherheitsfrage, ein Problem oder andere Themen, die Sie besprechen möchten?
Wir würden uns freuen, von Ihnen zu hören!