RELATED CONTENT
F5 实验室对数百万个站点的威胁情报研究发现,近 90% 的页面加载有加密。这是因为传输层安全性协议 (TLS) 采用已成为各行业中,各大规模组织的规范。
多个推动因素促成了这一普遍采用:欧盟《通用数据保护条例》(GDPR)、Google 搜索结果排序偏好、HTTP(明文)网站的浏览器警告,以及轻松获得廉价或免费证书 (Let’s Encrypt) 等。虽然这种演进提升了 Web 流量的安全性,但是却要付出代价:加密流量中隐匿的恶意软件潜在危险和工作负载需求的增加。组织必须实施解决方案,允许其基础架构实现速度和可用性,同时确保强大的安全性和隐私性。
F5 实验室威胁情报研究表明,在数百万个采样网站中,90% 的页面加载都有加密。
加密流量非常适合防止中间人攻击,中间人攻击可能允许攻击者查看或更改数据;但是,加密会使检查或分析设备及服务无法察觉该流量。加密和解密流量会消耗大量的计算能力,因此许多安全检查解决方案(如入侵检测/防护系统 (IDS/ IPS)、恶意软件沙盒、下一代防火墙 (NGFW))和其他解决方案要么根本不解密,要么性能受到显著影响,以致于它们通过加密流量只是为了保持同步。无论是进入应用的流量,还是离开互联网的内部流量,您都需要所有的基础架构投资,以获得发挥其潜能所需的可视性。
众所周知恶意软件十分危险,但通常需要分层防御来识别并阻止恶意软件传播给其他用户和设备,或外泄数据。恶意软件可以从多个不同的来源(如恶意网站或网络钓鱼电子邮件)获取,因此,检查出口网络流量以确保恶意软件无法调用命令和控制服务器,并且没有敏感数据离开您的受控环境至关重要。这也是一项挑战,因为几乎所有攻击者如今都使用加密通道来隐藏其恶意软件的出站通信。
检查入站流量也困难重重。根据 F5 实验室 2018 应用保护报告,应用或网站通常对组织业务至关重要,34% 的 Web 应用被报告为关键任务。当应用至关重要时,您很可能拥有安全解决方案,如 Web 应用防火墙 (WAF) 或 IDS/IPS 来过滤恶意流量。除安全检查设备外,您可能需要通过分析引擎或客户体验解决方案运行应用流量。所有这些解决方案都提供独特的价值,但大规模解密不太可能成为其中之一。
Web 应用被报告为关键任务,并且它们面临恶意流量的风险。
F5 实验室近期研究表明,68% 的恶意软件使用加密来隐藏其踪迹,使专门的安全设备无法对其加以识别并消除,而且该数字可能还会继续增长。在实施深度防御策略时,许多管理员在串行链中部署安全解决方案以抵御恶意软件。这种操作令人难以置信的低效,并且还为恶意流量通过大量的安全检查解决方案敞开了大门。尽管您需要可视性与安全性,但不能不考虑性能。
解密流量并发送至检查设备的 SSL/TLS 解决方案是降低恶意软件影响的第一步。但是,如果某些流量不需要通过某些检查设备,可能会引入不必要的延迟。例如,如果用户的出站流量将转到已知良好的站点(或 IP 地址),并且数据丢失防护 (DLP) 解决方案未检测到任何敏感内容,那么流量是否仍需要通过 NGFW 或 IDS?也许要通过,但重要的是能够根据风险承受能力自定义流量路径。
若存在集中控制点,可以在弃用旧密码时更容易地更改它们。
TLS 协议具有被称为“完全前向保密”(PFS) 保护的被动监视对策,这为加密连接双方间的密钥交换协议增加了额外交换。通过为用户启动的每个会话生成唯一的会话密钥,PFS 能够保证攻击者无法简单地恢复单个密钥并解密数百万个之前记录的对话。
随着 PFS 成为既实标准(尤其因为这是 TLS 1.3 中允许的唯一方法),因此您需要为入站流量的任何被动检查解决方案制定计划。之前使用 RSA 密钥,您会与任意的解决方案共享密钥。但是,PFS 不可能为每个会话生成唯一的密钥。F5 SSL Orchestrator 可以解密并转发明文流量给检查解决方案,也可以使用 RSA TLS 1.2 解密并重新加密。第二个选项确实重新让检查设备进行解密,但解决方案无需与流量保持一致,因此不会增加延迟,数据中心内也不会有明文数据传输。
利用椭圆曲线密码尚未发现任何漏洞,在实施 PFS 时,椭圆曲线密码为必需;但我们都知道,目前安全的东西未必永远都安全。安全研究和黑客工具不断进步,计算能力也在不断进步,这不可避免地有助于发现漏洞。具有所有解密和加密的集中控制点,可以在弃用旧密码时更容易地更改它们。
能够看到进入应用或从您网络离开的数据包内部,是一项伟大举措;但这只是第一步。依靠手动菊链或配置管理整个安全堆栈中的解密/加密十分繁琐,并且我们都知道,任何强制要求事物以某种方式运作的策略始终会有意外情况。F5 SSL Orchestrator 提供大规模可视性,但真正使其与众不同的是编排。
编排可根据风险和动态网络条件,向服务链提供基于策略的流量引导。通过成为 SSL/TLS 和 HTTP 的全代理,SSL Orchestrator 可以做出明智决策,将入站和出站流量引导到安全堆栈中的服务链。虽然大部分流量可能是 HTTPS,但 SSL Orchestrator 允许您智能地管理其他流量类型的解密和重新加密,如 FTP、IMAP、POP3 和 ICAP 中的 STARTTLS。没有任何产品能够做到这一点,因此没有任何其他的 SSL/TLS 解决方案能够为您的应用和网络提供更全面的保护。
有安全疑问、问题或其他问题要讨论?
我们非常期待倾听您的意见!